Depuis la loi n° 2016-1321 du 16 octobre 2016 pour une République numérique, les lanceurs d’alertes informatiques, appelés « hackeurs blancs » ou « hackeurs éthiques », sont désormais protégés lorsqu’ils dévoilent une faille de sécurité dans le système informatique d’une entreprise.
Ce nouveau statut est à l’origine de plusieurs révélations de failles, au nombre desquelles figure désormais celle divulguée par l’éditeur d’un site Internet spécialisé dans la sécurité des systèmes d’information concernant la société DARTY.
A partir de cette information, la CNIL a procédé à des missions de contrôle en ligne et sur place au sein des locaux de la société DARTY, lesquelles ont permis de constater que les fiches de demandes de services après-vente remplies par les clients de la société étaient accessibles en ajoutant simplement à une adresse URL du site Internet DARTY. EPTICAHOSTING.COM un identifiant, correspondant à un numéro de ticket. Ainsi, 912 938 fiches étaient potentiellement accessibles, alors qu’elles contenaient des données à caractère personnel des clients, tel que leur nom, prénom, adresse postale, adresse de messagerie électronique, ainsi que leur commande.
Malgré un premier rappel à l’ordre, la société DARTY n’avait pas mis en place les mesures de sécurisation nécessaires dans les délais exigés par la CNIL, se retranchant derrière les indications de son sous-traitant, précisant que les modifications n’étaient pas aisées à déployer.
La formation restreinte de la CNIL a donc été saisie pour déterminer si les manquements susvisés devaient donner lieu à une sanction pécuniaire. Celle-ci observe tout d’abord que la société DARTY détermine la finalité du traitement des données collectées via l’URL litigieuse, à l’exclusion de son sous-traitant. Cette solution n’était pas évidente, puisque c’est le sous-traitant de la société DARTY qui a mis à disposition le formulaire accessible via l’URL litigieux, sans que la société DARTY n’en ait connaissance. Cependant, la formation restreinte relève que c’est bien la société DARTY qui a choisi de recourir à la solution de gestion proposée par son sous-traitant pour les demandes de service après-vente de ses clients, outre le fait que les données à caractère personnel contenues dans le formulaire sont celles des clients de la société DARTY. Ainsi, seule la société DARTY doit être en l’espèce qualifiée de responsable de traitement en ce qu’elle détermine la finalité et les moyens de traitement des données accessibles à partir de l’URL litigieux.
Pour se défendre de toute responsabilité, la société DARTY indique que son sous-traitant n’aurait pas agi sur ses instructions, en méconnaissance de l’article 35 de la loi du 6 janvier 1978 modifié. Cependant, la formation restreinte rappelle que la loi informatique et libertés crée un responsabilité supplémentaire pour le responsable de traitement de contrôle effectif des agissements du prestataire, de sorte que la société DARTY ne saurait se décharger de toute responsabilité, alors qu’il lui incombait de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de services après-vente développé par son sous-traitant répondaient aux obligations de confidentialité de la loi.
La présente délibération permet d’attester de l’importance de la surveillance du sous-traitant, puisqu’en l’espèce la société DARTY avait exigé un cahier des charges précis sur les prestations de son sous-traitant et avait réalisé un audit de sécurité après avoir eu connaissance de la faille. Ces précautions n’ont cependant pas été considérées comme suffisantes par la CNIL.
En effet, la faille de sécurité subie par la société DARTY ne s’avère pas nouvelle, ce pour quoi la formation restreinte retient que « la vérification préalable, notamment des règles de filtrage des URL, fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques ».
A raison de la négligence de la société DARTY dans la surveillance des actions de son prestataire dans la mise en place des systèmes de sécurité, mais également dans la résolution de la violation, la formation restreinte a entendu condamner la société DARTY à une sanction d’un montant de 100 000 euros, somme qui apparaîtra demain dérisoire lorsque le Règlement général sur la protection des données sera entré en vigueur.
Virginie PERDRIEUX
Vivaldi-Avocats
