L’un des piliers de la loi Informatiques et Libertés porte sur la sécurité des données à caractère personnel susceptibles d’être traitées par les entreprises. La CNIL sanctionne particulièrement lourdement les failles de sécurité d’ores et déjà été révélées, puisqu’elle considère que les informaticiens doivent avoir adopté des mesures appropriées pour les éviter.
Tel est le cas notamment lorsque tout internaute peut accéder aux données personnelles de clients en modifiant simplement une variable d’une adresse URL d’un site Internet.
En effet, la société OUICAR avait d’ores et déjà reçu un avertissement public pour ce manquement aux termes d’une délibération de la CNIL en date du 20 juillet 2017.
Lorsque, quelques mois plus tard, la société DARTY avait commis le même manquement, la CNIL avait précisé que cette faille n’était pas nouvelle et que « la vérification préalable, notamment des règles de filtrage des URL, fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques » (délibération du 8 janvier 2018). Au regard de la connaissance de la faille, la CNIL ne s’était pas contentée d’un avertissement et avait prononcé une sanction de 100.000 euros à l’encontre de la société DARTY.
En l’espèce, la société BOUYGUES TELECOM a reçu un signalement en mars 2018, lui indiquant l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You.
Il s’est avéré que toute personne pouvait accéder au contrat de souscription et factures de plus de 2 millions de personnes en modifiant une variable d’une adresse URL du site Internet www.bouyguestelecom.fr.
Aux termes de sa délibération en date du 26 décembre 2018, la CNIL rappelle tout d’abord que l’article 34 de la Loi Informatique et Libertés ne prescrit pas de mesures obligatoires pour garantir la sécurité des données dans de telles circonstances, mais qu’il revient au responsable du traitement de prendre toute mesure pouvant permettre d’assurer une protection adaptée et proportionnée au regard du nombre de données à caractère personnel accessibles, de la nécessité de les protéger et de la fragilité induite par l’existence d’adresses URL prévisibles.
Au cas particulier, la formation restreinte considère que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34.
A l’issue de son instruction, le rapporteur avait proposé à la formation restreinte de prononcer une sanction pécuniaire de 500.000 euros, réduite à 250.000 euros après avoir reçu les observations écrites du conseil de la société BOUYGUES TELECOM.
La CNIL précise à cette occasion que la sanction pécuniaire est proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement. La CNIL prend encore en compte les facteurs suivants :
– Le caractère intentionnel ou de négligence du manquement ;
– Les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;
– Le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels ;
– Les catégories de données à caractère personnel concernées ;
– La manière dont le manquement a été porté à la connaissance de la CNIL.
En l’espèce, la société BOUYGUES TELECOM a fait preuve d’une grande réactivité dans la mise en place d’une cellule de crise et le déploiement de mesures visant à rendre inaccessibles les données à caractère personnel concernées. En effet, 6 jours après le signalement de la faille auprès de la CNIL et avant même les opérations de contrôle sur place, la société avait d’ores et déjà rendu les pages web litigieuses inaccessibles.
La société BOUYGUES TELECOM a encore pris des mesures pour minimiser l’impact d’une éventuelle violation de données, notamment en rappelant des bonnes pratiques et en mettant à disposition des fiches contenant des conseils pour ses clients. Elle a également notifié la faille de sécurité à la CNIL seulement 4 jours après son signalement.
C’est donc principalement au regard de la simplicité de la faille, du très grand nombre de personnes concernées (plus de 2 millions), la nature des données concernées (nom, prénom, date de naissance, adresse et numéro de téléphone) et la durée de la faille (plus de deux ans), que la CNIL a prononcé une sanction à hauteur de 250.000 euros.
A noter que les sociétés risqueront une sanction bien plus importante dans les prochains mois pour un tel manquement, cette délibération ayant été rendue sous l’empire de la Loi Informatique et Libertés non encore modifiée par le Règlement général sur la protection des données, ayant augmenté les seuils de sanctions pécuniaires à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires mondial.
