Le 30 novembre 2022, la Commission Nationale de l’Informatique et des Libertés (Cnil) a prononcé, entre autres, une sanction pécuniaire de 300 000 euros à l’encontre d’un opérateur de télécoms notamment pour manquement à la sécurité des données.
A la suite de 41 plaintes déposées par les clients de l’opérateur, deux contrôles sur place et un contrôle sur pièces ont été diligentés. La formation restreinte de la Cnil a constaté plusieurs manquements, notamment au respect des droits des personnes concernées et à l’obligation de sécurité des données.
Dans quel cas le secret des affaires est-il opposable à l’exercice du droit d’accès ? La demande de suppression d’un compte de messagerie électronique peut-elle être assimilée à une demande de résiliation de contrat ?
Non-respect des droits des personnes concernées
- Le secret des affaires peut-il faire obstacle au droit d’accès des personnes à l’information quant à la source de leurs données ?
En l’espèce, des clients de l’opérateur ont demandé l’accès à certaines informations, et notamment celles relatives à la source de leurs données. Or, la société n’a pas donné suite à ces demandes dans les délais, ou leur a apporté une réponse lacunaire.
En effet, la société fait valoir que la source des données est couverte par le secret des affaires, et qu’elle n’est donc pas tenue de la communiquer aux personnes concernées.
Néanmoins, la formation restreinte de la Cnil précise que le secret des affaires n’est opposable que lorsqu’une personne concernée demande une copie de ses données. Tel n’est pas le cas en l’espèce puisque les plaignants demandent seulement une information quant à la source de leurs données.
La formation restreinte retient donc que la société a méconnu le droit d’accès de ses clients, lequel est une garantie fondamentale pour assurer la transparence du traitement de données. Ainsi, la formation considère t-elle qu’en ne fournissant pas la source des données, la société a empêché ses clients de vérifier la licéité des traitements mis en œuvre.
- Une demande d’effacement de données doit-elle être assimilée, en présence d’un contrat, à une demande de résiliation ?
En l’espèce, les clients attestaient avoir rempli le formulaire dédié à la suppression de leur compte de messagerie électronique. Il leur avait été précisé que la suppression aurait lieu dans un délai de 48 heures après réception du formulaire. Or, la procédure de contrôle a révélé que les comptes étaient toujours renseignés comme étant « actif » dans la base de données de la société.
L’opérateur fait valoir que la demande de suppression de compte s’assimile à une demande de résiliation de contrat, et ne constitue pas une demande d’effacement des données au sens du RGPD. Selon elle, aucun délai légal ne vient donc encadrer de telles demandes.
En outre, la société estime qu’elle n’est pas tenue de procéder à une suppression immédiate des données puisqu’elle a une obligation légale de conserver les données associées aux comptes pendant une durée d’un an, conformément à l’article L34-1 du Code des postes et des communications électroniques.
La formation restreinte estime d’abord que la demande de suppression telle que formulée par les clients est claire et implique « nécessairement la demande de l’effacement des données personnelles liées à l’utilisation du compte ». Il ne s’agit donc pas d’une demande de résiliation du contrat.
Concernant le second argument de la société, la formation restreinte précise que la demande de suppression de compte n’empêche pas nécessairement l’archivage de certaines données. La formation semble rappeler ici la distinction entre la conservation des données en base active et leur archivage. Plus précisément, la demande de suppression de compte implique l’effacement des données liées à l’utilisation de celui-ci dans la base active. Toutefois, il serait possible d’archiver certaines de ces données dès lors qu’une obligation légale ou un intérêt administratif le justifie.
En tout état de cause, un manquement au respect du droit à l’effacement des personnes concernées a été retenu puisque les comptes de messagerie électronique étaient toujours actifs et accessibles par les clients.
Manquements à l’obligation de sécurité
- Le manque de robustesse des mots de passe
Un mot de passe est aléatoirement généré par la société lors de la création d’un compte utilisateur, d’une procédure de récupération ou d’un renouvellement. Ce mot de passe est d’une longueur de huit caractères, et peut comporter uniquement un même type de caractères.
Selon la formation restreinte, l’utilisation de mots de passe aussi courts et simples ne permet pas d’assurer la sécurité des données traitées par la société, ni d’empêcher que des tiers non autorisés y aient accès.
A ce titre, rappelons que la Cnil a récemment publié une nouvelle recommandation relative aux mots de passe.
- Le stockage de l’ensemble des mots de passe en clair
L’ensemble des mots de passe générés lors de la création d’un compte utilisateur était stocké en clair dans la base de données des abonnés de la société jusqu’au 23 janvier 2020. Cela signifie que toute personne ayant accès à la base de données des clients de la société pouvait directement collecter les identifiants et mots de passe en clair de chacun des abonnés et ainsi accéder aux informations contenues dans leurs comptes.
La formation restreinte considère que le manquement à l’obligation de sécurité est indéniable en l’espèce.
- La transmission des mots de passe en clair
Le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société est transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message.
La formation restreinte affirme que cette transmission rend les mots de passe aisément et immédiatement utilisables par un tiers qui les intercepterait ou aurait un accès indu à la messagerie électronique de l’utilisateur, et ainsi aux données à caractère personnel.
Pour cette raison, les mesures déployées pour garantir la sécurité des données sont considérées comme insuffisantes.
- La défaillance du processus de reconditionnement de boitiers
L’opérateur a mis en circulation 4 137 « Box » reconditionnés. Toutefois, les nouveaux détenteurs pouvaient avoir accès aux données d’anciens abonnés (photos ou vidéos personnelles) qui étaient stockées sur les disques durs desdits boitiers.
En effet, dans le cadre du reconditionnement, une procédure destinée à supprimer ces données était initialement prévue mais supprimée par erreur. Il n’existait en outre aucune mesure pour contrôler postérieurement la mise en œuvre effective de cette procédure.
Ainsi, la formation restreinte souligne que l’insuffisance des mesures de sécurité encadrant le processus de reconditionnement a rendu possible l’accès non autorisé aux données.
Toutefois, la formation restreinte fait le choix de prononcer un manquement au regard du non-respect de l’obligation de sécurité (et non pas au regard de la violation de données en tant que telle).
Elle constate enfin l’absence de documentation de cette violation dans un registre de violation de données. Quant à la documentation ultérieurement communiquée, la formation restreinte la juge insuffisante. A ce titre, elle précise que la société n’a pas spécifié si les mesures nécessaires avaient été prises à la suite de cet accès non autorisé. Celle-ci aurait dû préciser le nombre de Box récupérées après l’incident et la date de leur récupération.
Cette décision met ainsi en exergue l’importance des règles d’hygiène de sécurité.