Faille de sécurité des données // Le risque de sanctions liées sous-estimé
En début d’année, Isabelle Falque Pierrotin indiquait que 80% des inspections révèlent des insuffisances concernant la sécurité des données. La sécurité des données personnelles est un principe de base de protection des données.[1] C’est aussi une obligation du Règlement européen (GDPR). Toute organisation qui traite de données personnelles doit mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque pour les droits et libertés des personnes.
La violation d’un principe de base ou d’une obligation du GDPR sont passibles de sanctions financières de plusieurs millions d’euros sans compter l’impact sur l’image et la réputation en cas de publication de la sanction. Pourtant, dans la plupart des cas la sécurité informatique n’est pas la préoccupation première de la direction et le ROI lié aux dépenses de sécurité est un éternel serpent de mer.
L’analyse comparative de délibérations rendues par la CNIL et des dispositions du GDPR nous laissent à penser que les entreprises sous-estiment les risques de sanction liés à un défaut de sécurité des données.
1ÈRE ERREUR : « LA PROBABILITÉ DE FAIRE L’OBJET D’UN CONTRÔLE DE LA CNIL EST FAIBLE ».
L’obligation de sécurité est étroitement liée à l’obligation de notifier et de communiquer les violations de données personnelles à l’autorité et aux personnes concernées le cas échéant. Cette obligation de notifier une violation de données à caractère personnel est « une obligation de résultat »[2] ; depuis le 25 mai 2018, les entreprises du secteur des télécommunications ne sont plus les seules concernées puisque cette obligation a été généralisée aux entreprises quel que soit leur secteur d’activité.
- En pratique, c’est souvent à l’occasion d’une faille de sécurité (accès illégitime aux données) dont elle a directement ou indirectement connaissance (notification, dénonciation, information dans les médias), que l’autorité de protection des données fait des contrôles et constate des manquements aux obligations.
Or aujourd’hui, aucune entreprise n’est à l’abri d’une cyberattaque, d’une négligence ou d’une faille de sécurité chez son sous-traitant.
- De plus, toute personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle et/ou un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant et exerce son droit d’obtenir réparation. Noyb[3], la Quadrature du Net[4], UFC Que choisir[5], pour ne citer qu’elles ont déjà entamé des actions en protection des données personnelles et ce type de recours devraient se développer.
2ÈME ERREUR : « EN CAS DE CONTRÔLE, IL SUFFIRA DE COLLABORER AVEC LA CNIL ET DE FAIRE PREUVE DE RÉACTIVITÉ POUR ÉVITER UNE SANCTION ».
La réactivité et la collaboration de l’entreprise contrôlée sont essentielles et la CNIL ne manque pas d’en faire état dans ses délibérations, mais cela ne saurait l’empêcher de prononcer des sanctions financières pour plusieurs raisons détaillées ci-après :
- Il existe des mesures élémentaires de sécurité. L’absence de mesures préventives et de contrôle constitue donc une non-conformité aux dispositions de la loi Informatique et libertés et du règlement.
- Concernant la mise en production de nouvelles fonctionnalités du site internet, la CNIL souligne régulièrement l’importance de procéder à un protocole complet de test en amont[6] de la mise en production d’un site internet et de procéder, après le déploiement des sites internet, aux vérifications régulières des mesures de sécurité. Ainsi, la structure de l’url ne doit pas comprendre d’identifiant, ni permettre d’identifier ou de prévoir le chemin d’accès aux dossiers enregistrés (voir par exemple les délibérations de la CNIL à l’encontre des sociétés Optical center, Web Edition, Darty & Fils, ADEF, Ouicar), ni comporter le secret d’authentification comme cela fût relevé dans l’affaire contre le Parti Socialiste.
- La Commission vient aussi de rappeler que l’exposition de données personnelles sans authentification ou autre contrôle d’accès préalable, est identifiée depuis de nombreuses années comme faisant partie des failles de sécurité devant faire l’objet de vérifications : cf. ADEF[7], Web Edition[8] , Optical center.
De même, lorsque l’accès aux données (ex. images de vidéosurveillance) n’est pas sécurisé au moyen d’un identifiant et d’un mot de passe suffisamment robustes.[9]
- Les mots de passe ne doivent pas être conservés ou transmis en clair mais de manière sécurisée : par exemple, la CNIL a reproché à Daily Motion[10] de garder le mot de passe inscrit en permanence en clair dans le code source pour que le compte de service puisse se connecter. A l’occasion d’un contrôle de la société Allocab,[11]l’autorité française a dénoncé la transmission en clair de l’identifiant et du mot de passe des utilisateurs.
- Les connexions et flux de données doivent être sécurisés : la société Genesis Industries Ltd[12] a été sanctionnée en raison d’une transmission de messages via un protocole http non chiffré entre les utilisateurs et les jouets ; l’accès aux pages de connexion d’un compte utilisateur et aux pages comportant un formulaire de renseignement de données à caractère personnel doit être sécurisé en https[13]. Les connexions à une plateforme des paiements doivent être tracés[14].
- Le dispositif de communication bluetooth doit être sécurisé (par exemple par la mise en place d’un bouton d’appairage, d’un code PIN ou d’une authentification).[15]
- La connexion à distance doit être sécurisée au moyen par exemple de la reconnaissance de l’adresse IP ou par VPN comme cela a été rappelé à Daily Motion.
- Les données les plus sensibles doivent être conservées de manière suffisamment sécurisée :
- Le chiffrement doit être à l’état de l’art : dans sa délibération à l’encontre du Parti socialiste, la Commission a relevé que les données étaient hashées en MD5 sans sel ;
- Protection du secret : le sel doit être conservé dans un espace distinct de celui où sont stockés les mots de passe ;
- Les numéros de carte bancaire ne doivent pas être conservés en clair avec les cryptogrammes[16].
- Les accès aux données doivent être strictement limités aux seules personnes ayant besoin d’en connaitre : Cdiscount a ainsi été sanctionné en raison d’un accès aux données bancaires en clair par l’ensemble des prestataires ;
Lors du contrôle de la CNAMTS, la CNIL a constaté que les utilisateurs du SNIIRAM et les prestataires disposaient d’accès illégitimes aux données[17].
- Enfin, dès 2012 la CNIL indiquait qu’« il est vain de vouloir imputer à l’éditeur de logiciel […] ses critères de paramétrage par défaut, alors qu’il appartient au responsable de traitement, d’adapter les conditions d’usage de ce logiciel à sa propre population »[18].
- Certains éléments liés aux traitements de données constituent des facteurs aggravants d’un manquement à l’obligation de sécurité
Dès avant 2018, la CNIL a toujours tenu compte d’éléments contextuels dans le prononcé de ses sanctions.
Le GDPR précise que pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est notamment tenu compte de la nature, de la gravité et de la durée de la violation, du fait que la violation a été commise délibérément ou par négligence, de toute mesure prise par l’organisation pour atténuer le dommage subi par les personnes concernées, des mesures techniques et organisationnelles mises en œuvre, du degré de coopération avec l’autorité de contrôle, des catégories de données concernées, de la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, la violation lui a été notifiée.
Dès 2012, la Commission soulignait le fait que le « risque devait être mis en regard du fait que la société détient les coordonnées bancaires en cours de validité d’une dizaine de millions de personnes »[19].
Dans la sanction prononcée contre Daily Motion, la CNIL a pris en compte le volume de données (82,5 millions d’adresses électroniques) bien que l’attaque subie par la société ait pu être qualifiée de sophistiquée et que le nombre de catégories de données soit réduit car les mots de passe chiffrés limitaient le risque d’atteinte à la vie privée des personnes concernées.
La CNIL tient également compte de la sensibilité des données : informations susceptibles de révéler les opinions politiques,[20] NIR et données de santé[21], éléments financiers relevant du secret bancaire[22].
Enfin, le Commission a souligné que la vulnérabilité du public (enfants) devait être prise en considération[23].
- Par ses sanctions, la CNIL souhaite aussi informer et sensibiliser le public et les acteurs du secteur
Déjà en 2012[24] , l’autorité française notait « l’importance d’informer le public des suites données à cette affaire ayant connu un important retentissement médiatique ».
A l’occasion d’une mise en demeure à l’encontre de CDiscount[25], la CNIL faisait état de la « nécessité de sensibiliser le secteur marchand de la vente à distance ».
Plus récemment[26], la Commission Nationale Informatique et Libertés a souhaité mettre en avant « le contexte actuel dans lequel se multiplient les incidents de sécurité et la nécessité de sensibiliser les internautes quant aux risques pesant sur la sécurité de leurs données ».
3ÈME ERREUR : SE CROIRE À L’ABRI PARCE QU’IL EXISTE FORCÉMENT UNE POLITIQUE DE SÉCURITÉ DANS L’ENTREPRISE
L’obligation de sécurité se conjugue avec l’obligation de documenter et de démontrer que le traitement est effectué conformément au Règlement (accountability). En pratique cela se traduit non seulement par la définition et la mise en place de procédures de sécurité, mais aussi par une application effective des mesures et par leur mise à jour régulière. Dans une décision rendue en 2012, la formation restreinte de la CNIL précisait qu’«il est vain pour la société de chercher à se dégager de sa responsabilité en invoquant de supposées procédures préventives en la matière (procédure sécurité conforme ISO 27001, exigences du Règlement CRBF 97-02) ».[27]
4ÈME ERREUR : « C’EST LE SOUS-TRAITANT QUI SERA RESPONSABLE »
Conformément au GDPR, le responsable de traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées, notamment en matière de sécurité des données.
La CNIL s’est prononcée à plusieurs reprises sur la responsabilité d’une organisation du fait de son sous-traitant en relevant les points suivants :
Il convient de tracer et de documenter les échanges avec le prestataire : Le caractère informel des échanges entre la société et son prestataire peut rendre plus difficile le suivi par le responsable de traitement, des actions entreprises par son prestataire, des correctifs apportés par ce dernier ainsi que des recommandations qui pourraient être formulées[28].
L’intervention d’un prestataire crée une responsabilité supplémentaire de contrôle effectif des agissements du prestataire[29] et des solutions utilisées par ce dernier.
- Il a été indiqué à la société Orange que le responsable de traitement ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires.
- Ladite société s’est aussi vu reproché de n’avoir pas fait réaliser d’audit de sécurité sur la version de l’application technique développée par le prestataire secondaire.
- Darty aurait dû faire désactiver tous les modules inutilement mis en œuvre par son prestataire dans sa solution sur étagère et procéder aux vérifications des caractéristiques de ce produit.
- Le fait de ne pas imposer de cahier des charges à son prestataire chargé du développement d’un site internet constitue une négligence de la société dans la surveillance des actions de son sous-traitant[30].
- Enfin, le responsable de traitement doit procéder à un suivi régulier de la résolution de la violation de données auprès de son prestataire (en l’espèce la société Darty n’a pas établi la preuve de demandes quotidiennes).
La prestation de service doit obligatoirement faire l’objet d’un contrat encadrant les obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel :
- Dans sa délibération rendue à l’encontre de la société Orange, la CNIL relevait l’absence de clause de sécurité imposée au prestataire secondaire.
- Plus récemment ce manquement a été relevé dans deux décisions rendues publiques en 2017 et 2018[31].
Alors pourquoi est-il urgent de garantir la sécurité des données personnelles ?
Prendre des mesures préventives et en contrôler régulièrement l’efficacité, c’est limiter les risques liés aux failles de sécurité, qu’il s’agisse d’une sanction de l’autorité de protection des données, d’une action en justice de la part des personnes concernées, mais aussi de tentatives d’extorsion de la part de cybercriminels.
[1] Suivant l’article 5. f) du GDPR : les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée de ces données, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
[2] Délibération 7 août 2014 : avertissement à l’encontre de la société Orange
[4] https://www.laquadrature.net/donnees_perso/
[5] https://www.quechoisir.org/dossier-donnees-personnelles-t297/
[6] Délibération du 18 juillet 2017 : sanction de 40 K€ de la CNIL à l’encontre de la société Hertz
[7] Délibération du 21 juin 2018 : sanction de 75 K€ de la CNIL à l’encontre de l’Association pour le Développement des Foyers
[8] Délibération du 16 novembre 2017 : sanction de 25 K€ de la CNIL à l’encontre de la société Web Edition
[9] Délibération du 15 juillet 0217 : sanction de 1000€ prononcée par la CNIL contre BDE ; Délibération du 2 juillet 2018 : mise en demeure de la société « Institut des techniques informatiques et commerciales ».
[10] Délibération du 24 juillet 2018 : sanction de 50 K€ de la CNIL à l’encontre de la société Daily Motion
[11] Délibération du 13 avril 2017 : sanction de 15 K€ de la CNIL contre la société Allocab
[12] Délibération du 20 novembre 2017 : avertissement de la CNIL à l’encontre de la société Genesis Industries Limited
[13] Délibération du 07 juillet 2016 : sanction de 30 K€ de la CNIL à l’encontre de la société Brandalley
[14] Voir Parti Socialiste
[15] Voir Genesis Industries Ltd
[16] Délibération du 9 juillet 2012 : avertissement à l’encontre de la société Fnac ; Délibération du 20 septembre 2016 : mise en demeure à l’encontre de la société CDiscount
[17] Délibération du 08 février 2018 : mise en demeure par la CNIL de la Cnamts
[18] Délibération du 21 juin 2012 : Avertissement de la CNIL à l’encontre de la société Euro-Information (groupe Crédit Mutuel)
[19] Voir Fnac
[20] Délibération du 13 octobre 2016 : Avertissement de la CNIL à l’encontre du Parti socialiste
[21] Délibération du 7 mai 2018 : Sanction de 250 K€ à l’encontre de la société Optical center
[22] Voir Euro-Information
[23] Voir Genesis industries Ltd
[24] Voir Euro-Information
[25] Voir CDiscount
[26] Voir Optical center
[27] Voir Euro-Information
[28] Voir Optical center
[29] Délibération 8 janvier 2018 : Sanction de 100 K€ à l’encontre de la société Darty
[30] Voir Hertz
[31] Délibération du 30 août 2017 : mise en demeure du Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation – Délibération du 25 juin 2018 : mise en demeure de la société Teemo