Par une délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018, la Commission nationale de l’informatique et des libertés (Cnil), a prononcé à l’encontre de la société Optical Center une sanction pécuniaire publique d’un montant de 250 000 euros, pour manquement à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel.

Cette même société avait déjà fait l’objet d’une sanction pécuniaire publique d’un montant de 50 000 euros en 2015, pour un manquement à cette même obligation de sécurité (délibération n°2015-379 du 5 novembre 2015), qu’elle avait contesté devant le Conseil d’Etat en 2017.

Les contrôles et la procédure de sanction ayant été ouverts en 2017, la loi n°78-17 du 6 janvier 1978, dite loi Informatique et Libertés, s’applique dans sa version modifiée postérieure à la loi n°2016-1321 du 7 octobre 2016, dite loi pour une République numérique. Dans ce contexte, le plafond applicable à la sanction pécuniaire était de 3 millions d’euros.

Quels manquements sont reprochés au responsable de traitement ? A l’heure de l’entrée en application du RGPD, quels enseignements peuvent-ils être tirés de la délibération de la formation restreinte ? Mathias Avocats fait le point.

Quels sont les faits ?

Le 28 juillet 2017, la Cnil est informée d’une faille de sécurité concernant la société. Le 31 juillet, les agents de la Cnil procèdent à un contrôle en ligne et constatent un défaut de sécurité permettant d’accéder librement à des factures de clients, hébergées sur le site internet de la société. Ces factures pouvaient notamment comporter des données de santé des clients de la société, à savoir leur correction visuelle, ou encore le numéro de sécurité sociale.

Le même jour, la Cnil a alerté la société de la faille de sécurité dont la fin a été fixée le 2 août 2017. Après un contrôle sur place et plusieurs échanges par courrier, un rapporteur est désigné le 15 décembre 2017 afin que soit engagée une procédure de sanction à l’encontre du responsable du traitement.

Il convient de noter que la Cnil n’a prononcé aucune mise en demeure préalable à la procédure de sanction. Il s’agit de l’une des nouveautés introduites par la loi pour une République numérique. Depuis le 3 octobre 2016, la Cnil n’est plus dans l’obligation de prononcer une mise en demeure préalable s’il s’avère que « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure » (loi Informatique et Libertés, article 45, I, dernier alinéa).

Le manquement à l’obligation de sécurité

Pour la Cnil, le manquement à l’obligation de sécurité du responsable du traitement est dû à l’absence de ce que la formation restreinte qualifie de « mesures de sécurité élémentaires ».

La présence d’un espace client permettant d’accéder aux factures sur le site internet était une nouvelle fonctionnalité mise en production en décembre 2016. La société a indiqué lors d’un contrôle l’origine du défaut de sécurisation, à savoir que le site « n’intégrait pas de de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès auxdits documents ». La formation restreinte souligne que « la société aurait dû mettre en place une restriction d’accès aux documents mis à disposition des clients via leur espace réservé dès lors que ce dernier a précisément pour objet de permettre aux clients d’accéder aux commandes en cours et passées, à leurs avoirs ou encore à leurs factures ».

Pour la Cnil, « la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle dont la mise en œuvre aurait permis de réduire significativement le risque de survenance d’une telle violation de données », d’autant plus que cette faille pouvait être exploitée sans « compétence technique particulière ».

A cette faille de sécurité s’ajoute l’absence de contrôle de sécurité au moment de la mise en production du nouveau développement du site, qui aurait pu permettre de détecter ce défaut. La formation restreinte indique qu’il n’a été fait état, le jour du contrôle, d’aucune « procédure décrivant les tests à mettre en œuvre lors d’une mise en production d’une mise à jour du site » et d’« aucun procès-verbal de recette ».

En somme, la Cnil sanctionne le manquement du responsable du traitement à son obligation d’assurer la sécurité des données soit directement, soit par l’intermédiaire de son prestataire.

De l’importance de documenter les mesures mises en place

La société a invoqué, pour atténuer la sanction prononcée, la mise en œuvre de mesures de sécurité destinées à empêcher le téléchargement intégral de la base de données hébergée sur le site Internet, ainsi que l’existence de contrôle de sécurité à la mise en production de nouveaux développements du site et de nombreux échanges avec son prestataire.

Cependant, ces éléments sont venus trop tard pour la Cnil, qui indique que rien ne prouve qu’ils étaient en œuvre antérieurement aux contrôles. La formation restreinte souligne la nécessité d’étayer ces affirmations ce qui n’est pas sans évoquer le principe d’accountability. La Cnil souligne ainsi que rien ne confirme l’existence du dispositif de protection avant la survenance de la faille de sécurité, pas plus que celle des procédures de contrôle de la sécurité des développements alléguées.

La formation restreinte relève également que « le caractère informel des échanges qui interviennent entre la société et son prestataire a rendu, en l’espèce, plus difficile le suivi par le responsable de traitement, des actions entreprises par son prestataire, des correctifs apportés par ce dernier ainsi que des recommandations qui pourraient être formulées ».

Cette absence de documentation conduit la Cnil à conclure à l’absence de mesures de sécurité élémentaires, quand bien même il y en aurait eu dans les faits. Cette position souligne l’importance de documenter sa conformité et toutes les mesures prises pour la maintenir.

Si l’existence de telles mesures avait été documentée et communiquée aux agents de la Cnil dès les premiers échanges, la sanction aurait pu être moindre.

La lecture de la délibération de la formation restreinte conduit donc à souligner l’importance des mesures de sécurité à mettre en oeuvre ainsi qu’aux vérifications à réaliser quant à leur existence et à leur pertinence. La capacité pour toute entité d’être en mesure de démontrer sa conformité est également mise en exergue.