La CNIL a été alertée par un site web spécialisé dans la sécurité des systèmes d’information de la découverte d’un incident de sécurité sur trois sites de démarches administratives en ligne, permettant un libre accès aux données renseignées par leurs utilisateurs sur les formulaires présents sur lesdits sites Internet et ce, sans nécessiter un processus d’authentification préalable.
Les enquêtes de la CNIL ont permis d’identifier la faille : à la fin de chaque démarche, une page récapitulative contenant les données à caractère personnel de l’utilisateur est affichée et en modifiant simplement les derniers numéros des adresses URL de ces pages, les informations renseignées par d’autres utilisateurs du site apparaissent.
L’absence d’authentification des utilisateurs lors des démarches en ligne permet notamment d’accéder aux données personnelles suivantes : données d’identification des personnes, adresse électronique, adresse postale, numéro de téléphone, nom et prénom des parents lorsque la demande porte sur un acte de naissance, descriptif des faits lors de dépôts de plaintes.
Seulement cinq jours ouvrés après que la CNIL ait alerté l’éditeur des sites Internet de l’existence de cette violation de données à caractère personnel, ce dernier a mis en place les mesures correctrices nécessaires pour lui permettre d’être en conformité.
Bien que l’éditeur ait donc mis en conformité son outil avant même de recevoir une mise en demeure de la CNIL, cette dernière rappelle que : « les mesures prises par un responsable de traitement pour faire cesser un manquement constaté, s’ils justifient qu’aucune mise en demeure ne lui soit adressée pour l’avenir, ne la prive pas de la possibilité de prononcer une sanction, dans la mesure où la mise en conformité spontanée du responsable de traitement n’a pas pour effet de faire disparaître les manquements passés ».
En effet, l’article 45 de la loi pour une République Numérique du 7 octobre 2016 vise à permettre la sanction des manquements constatés mais ne pouvant plus faire valablement l’objet d’une mise en demeure, soit que le manquement, de portée ponctuelle, ne puisse être corrigé, soit que la mise en conformité ait été entre-temps opérée sans attendre une mise en demeure.
La CNIL, pour fonder le montant de la sanction pécuniaire, identifie ensuite la gravité du manquement au regard des éléments suivants :
– L’éditeur disposait dès l’origine du dispositif permettant d’assurer la sécurisation des données à caractère personnel des utilisateurs, mais n’a pas jugé utile d’y recourir ;
– La rapidité des mesures correctrices mises en œuvre par l’éditeur illustre la simplicité avec laquelle il était possible d’empêcher la violation des données ;
– La violation des données a été réalisée en faisant un usage normal du site, par simple modification des URL, sans nécessiter de compétence technique particulière ;
– Les mesures élémentaires de sécurité n’ont pas été prises.
La CNIL a donc condamné l’éditeur des sites Internet litigieux à une sanction de 20.000 euros, outre la publication de la délibération, ce qui peut constituer une sanction économique bien plus grave au vu des effets négatifs de la mise en connaissance d’une telle faille de sécurité auprès du public en termes de e-réputation.
Virginie PERDRIEUX
Vivaldi-Avocats
