Les sanctions prononcées par la CNIL à travers le prisme de la sécurité

La sécurité des données : une obligation de moyens, mais une obligation quand même.

Si comme l’affirmait en 2010 Isabelle Falque-Pierrotin [1], la présidente de la CNIL, on ne peut réguler le marché à coup de sanctions, il n’en est pas moins vrai que la CNIL tend progressivement à sensibiliser les organisations sur la sécurité des données en rendant publiques certaines de ses sanctions.
En vertu de la « loi informatique et libertés » du 06 janvier 1978, le responsable de traitement a l’obligation d’assurer la sécurité et la confidentialité des données (art.34). Il doit aussi veiller au respect de ces mesures de sécurité par toute personne agissant sur ses instructions, c’est-à-dire par ses sous-traitants au sens de ladite loi (art. 35).
Il s’agit d’une obligation de moyens et la loi précise seulement que les mesures doivent être adaptées à la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Néanmoins, la CNIL émet régulièrement des recommandations et elle a notamment publié deux guides relatifs à l’analyse des risques et aux mesures de sécurité.

Prendre des mesures de sécurité, c’est bien, encore faut-il qu’elles soient adaptées et conformes à la loi

Telle est la leçon à retenir de l’avertissement rendu en 2012 par la CNIL à l’encontre d’une filiale du CIC en charge de son système d’information[2]. S’il est vrai que la Commission avait relevé l’existence de diverses mesures préventives relatives à la gestion de la sécurité du système d’information, elle avait aussi indiqué que cela ne suffisait pas à exonérer l’entreprise de sa responsabilité si ces mesures étaient inadaptées.
La CNIL rajoutait que les mesures de sécurité devaient aussi être conformes aux lois applicables. En l’espèce cela aurait dû se traduire par une entière séparation des traitements de données et des accès à ces données, ce que les mesures de sécurité en place n’avaient pu garantir.

Gare à la mauvaise gestion des mots de passe et aux flux non sécurisés

Rien de très nouveau puisqu’à intervalles réguliers la Commission recommande la mise en place d’une politique de gestion des mots de passe.
Remarquons toutefois que depuis 2013 et à plusieurs reprises, la CNIL a sanctionné à la fois le manque de robustesse des mots de passe [3] , l’absence de leur renouvellement [4] ainsi que la conservation en clair de ces mots de passe [5].
Elle a par ailleurs et à deux occasions[6], sanctionné le fait que les transmissions ou les flux de données personnelles n’étaient pas sécurisés.

La sanction des violations de confidentialité dues aux défaillances techniques des solutions applicatives

Les sanctions prononcées par la CNIL au cours de l’année 2014 traduisent une constante évolution de sa jurisprudence.
Elle a d’abord jugé le 12 juin que la société DHL International Express France[7] ne pouvait s’exonérer de son obligation de sécurité du fait d’un défaut de conception de l’application. En d’autres termes, et bien que cela ne soit pas formulé ainsi, DHL aurait dû auditer la sécurité de la solution fournie par son prestataire.
C’est ce que le régulateur indiquera expressément quelques semaines plus tard, à l’occasion d’une décision rendue à l’encontre de la société Orange. Il y est en effet précisé que l’entreprise aurait dû faire réaliser un audit de sécurité de l’application concernée et développée par le prestataire secondaire.

Le recours à des sous-traitants ne saurait exonérer l’entreprise de sa responsabilité d’assurer la sécurité des données personnelles

La délibération du 8 août rappelle que la société Orange en sa qualité de responsable de traitement ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires.
En l’espèce le contrat entre Orange et son prestataire comprenait une clause de confidentialité, mais la CNIL précise que le contrat avec le prestataire ‘secondaire’ aurait également dû comporter une clause de confidentialité et de sécurité.

Des sanctions critiquées pour leur manque de sévérité mais non dénuées de sens

Les sanctions récemment prononcées par la Commission relèvent de l’avertissement ou d’une amende de 5 000 euros pour la plus sévère. Rien de très effrayant, d’autant plus que ces décisions portent aussi sur la violation d’autres obligations de la loi (cf. information des personnes, collecte excessive de données, conservation des données…) et que leur publication résulte généralement d’un manquement à l’obligation de coopérer avec la CNIL.
Certes,  la décision de rendre public l’avertissement de la société DHL se fonde sur l’impact de l’incident en raison de la quantité de personnes concernées et de la nature des données.
Mais c’est la jurisprudence Orange qui retiendra notre attention puisque la CNIL justifie la publicité de l’avertissement par « les défaillances de la société en termes de sécurité et de confidentialité des données personnelles, alors même qu’elle dispose des ressources pour en assurer la prise en charge ». Une sanction qu’il convient tout de même de resituer dans le contexte de la réglementation du secteur des télécom et de l’obligation pour les opérateurs de notifier les failles de sécurité.

Un dernier avertissement avant l’adoption de la réforme européenne 

Le projet de règlement européen en cours de discussion à Bruxelles prévoit un net renforcement des sanctions[8] et une responsabilisation des organisations qui seront notamment soumises à un principe d’ « accountability », une sorte d’obligation de rendre des comptes sur les mesures mises en place pour assurer la protection des données et limiter les risques d’impacts sur la vie privée. Or comme l’indiquait la présidente de la CNIL et du G29 dans l’interview précitée, les sanctions devraient être graduées en fonction de la mise en œuvre de mesures adaptées.
C’est peut-être à la lumière de ce tout prochain cadre juridique qu’il faut analyser la jurisprudence de la CNIL.
                    

[1] Isabelle Falque Pierrotin, Présidente de la CNIL https://www.youtube.com/watch?v=4LTxGcBIxTc#t=693
[2] Société européenne de traitement de l’information – délibération CNIL 2012-176 du 21/06/2012
[3] Société Abers Protection Incendie – délibération CNIL 2013-366 du 23 novembre 2013 ; Fédération française d’athlétisme – délibération CNIL 2014-293 du 17 juillet 2014
[4] Loc Car Dream - Délibération CNIL 2014-294 du 22 juillet 2014
[5] Société Régime coach – Délibération CNIL 2014-261 du 26 juin 2014
[6] Société Orange – Délibération CNIL 2014-298 du 7 aout 2014 ; société Régime Coach
[7] DHL International Express France – Délibération CNIL 2014- 238 du 12 juin 2014
[8] 1 million € et 2 % C.A. dans le projet de règlement ou 100 millions € et 5 % C.A. dans le texte adopté par le parlement européen.

Cnil / Clause de confidentialité