RGPD : bilan des sanctions dans l'UE

En ce début d'année 2021, et pour fêter les trois ans de l'entrée en application du RGPD, un tour d'horizon de l'état des sanctions fondées sur le défaut de mesures de sécurité appropriées aux traitements de données par les entreprises s'impose.

En 2020, les sanctions prononcées sur le fondement de l’article 32 du RGPD représentent plus de 83 millions d’euros. Entre 2018 (année de l’entrée en application du RGPD) et 2020, les amendes infligées par les autorités de protection des données dans les états de l’UE sur le fondement d’un défaut de sécurité ont été multipliées par 162.

Dès 2018, nous vous mettions en garde contre la sous-estimation des risquent de sanctions administratives sur le fondement de l’article 32 du RGPD.

Trois ans après l’entrée en application du RGPD, quel bilan pouvons-nous tirer de l’évolution des sanctions en matière de sécurité ?

Focus sur les sanctions prononcées par la CNIL en cas d’absence de mesures de sécurité simples à implémenter

En France, et en ne prenant en considération que les décisions prononcées par la CNIL depuis l’entrée en vigueur du RGPD, le fondement du défaut de sécurité représente 2,33% des décisions de l’autorité de contrôle. En 2020, elles représentent en France, sur 138 486 300€, 2 679 000€ du total des sanctions prononcées.

A cet égard, il faut noter que même antérieurement à l’entrée en application du RGPD, la CNIL témoignait de sa culture en matière de sécurité dans ses décisions. Dès 2012[1], la CNIL retoquait les mesures de sécurité des responsables de traitement (sur le fondement de l’article 34 de la loi Informatique et liberté) le fait de conserver dans une seule et même base de données, en clair l’intégralité des données bancaires d’une société de vente à distance. La sanction ne se chiffre pas mais consistait en un avertissement public.

Depuis l’entrée en vigueur du RGPD, les montants semblent faramineux, mais comme le rappelle l’autorité de contrôle française dans ses décisions, notamment celle de Carrefour[2] : l’amende joue également un rôle dissuasif. Dissuasif quant aux manquements positifs (i.e. : ne pas collecter le consentement lorsque celui-ci s’impose), mais également quant au manquement négatif ; c’est-à-dire le fait, pour un responsable de traitement de ne pas mettre en place des mesures de sécurité suffisantes quant au traitement effectué.

Dans le cas Carrefour, les factures des clients, lorsque les achats étaient effectués en ligne, étaient directement accessibles depuis l’URL. Les deux mesures qui auraient permis cet accès non autorisé auraient été :

  • L’ajout d’une chaine de caractères aléatoires afin d’augmenter le nombre d’URL potentielles ;
  • L’authentification obligatoire avant d’accéder à la facture.

Si la première mesure fut mise en place dès la découverte de la vulnérabilité, la seconde mesure ne le fut qu’un an après un premier contrôle de la CNIL.

Les manquements constatés varient. Au demeurant la substance du raisonnement de l’autorité est claire et aisément appréhensible : compte tenu de l’état de connaissance, des coûts, de la nature et de la portée du traitement le responsable de traitement pondère ses mesures de sécurité.

Néanmoins, dans l’intégralité des décisions de sanction, l’état de connaissance est suffisant, voire tend à prendre les traits d’une véritable culture de la cybersécurité, et les mesures de sécurité sont pourtant négligées. Ce fut le cas de la société Nestor SAS[3] qui, pour justifier de l’acceptation de mots de passe contenant uniquement un ou six caractères (selon que l’on s’inscrive sur l’application mobile ou le site de la société) indiquait que les mots de passe plus simples venaient à être plus aléatoire et donc d’une meilleure protection face à des attaques de force brute.

Or, les recommandations de la CNIL en matière de robustesse de mot de passe datent de 2017, soit au minimum 3 ans avant la sanction de Nestor.

De même pour l’affaire Carrefour, les recommandations en la matière sont issues de l’ANSSI[4] et remontent à 2013, soit 7 ans avant la condamnation de l’entreprise.

Tour d’horizon des sanctions rendues dans les autres pays européens 

Au Portugal, une sanction de 400 000€ a été prononcée en juillet 2018 à l’encontre d’un hôpital public du fait d’un système de gestion des profils de médecins déficient :

  • Pas de mise à jour des comptes,
  • Accès aux fichiers des patients ne répondant pas au besoin d’en connaitre.

En Suède, la Datainspektionen (autorité de contrôle nationale) a prononcé une amende de 1 463 000€ en début décembre 2020 pour les raisons suivantes :

  • L’hôpital n’avait pas pris de mesures de sécurité suffisantes au regard des risques liés aux traitements,
  • Absence d’étude d’impact,
  • Des droits d’accès aux données bien trop étendus au regard des informations nécessaires dans le cadre de l’exercice de la mission.

Prendre des mesures de sécurité ne suffit pas, encore faut-il que ces mesures soient adaptées aux risques liés aux traitements et répondent aux bonnes pratiques de sécurité.

Les deux exemples sont pertinents en ce qu’il s’agit du domaine de la santé, domaine sensible par définition de l’article 9 du RGPD.

Aussi, il est à remarquer que la need-to-know basis est un fondamental tant de bonnes pratiques que de bon sens :

  • Limiter l’accès aux données limite également la source de leurs fuites ;
  • Cette mesure permet aussi la traçabilité desdites fuites ;
  • La falsification des identités se retrouvent d’autant plus compromises si les profils ayant accès aux données sont triés sur le volet.

On aurait tort de croire que le RGPD et les autorités de contrôles s’érigent en empêcheur de tourner en rond, particulièrement sur le domaine de la sécurité des données.

Il est en tout premier lieu, de l’intérêt des entreprises de mettre en place ces mesures de sécurité, non pas uniquement pour passer entre les mailles des sanctions lors de contrôles.

En dehors de la sécurité de la donnée elle-même qui est due aux personnes concernées afin d’éviter d’impacter leurs droits et libertés, il convient de mettre en exergue le fait que ces mesures de sécurité constituent un gage de confiance dans l’économie numérique.

A cet égard, le cas du Marriott International est édifiant. Il s’agissait d’une faille de sécurité qui a duré pendant 4 ans. Une faille de sécurité qui est passée sous le radar de l’ensemble des mesures de sécurité mises en place et héritées lors de l’achat du Starwood Hotels.

L’ICO n’a pas été en état de déterminer si le système d’information avait été correctement évalué lors de l’acquisition du Starwood Hotel en 2016 par Marriott International. Cela étant, l’ICO relevait dans les motifs de la sanction les lignes directrices de la National Cyber Security qui publiait en 2018 : 10 steps to Cyber Security : Guidance on how organisations can protect themselves in cyberspace, including 10 steps to cybersecurity.

Au terme de l’exposé de certaines mesures, dont le monitoring tant du réseau que des activités de ses utilisateurs, l’ICO en tire la conséquence selon laquelle le Marriott était censé avoir connaissance des multiples couches de sécurité à mettre en place afin de protéger de manière appropriée les données personnelles.

La conclusion de l’ICO est d’autant plus intéressante qu’elle fait écho aux multiples décisions de la CNIL. Le responsable de traitement lors de la mise en place des mesures de sécurité n’est pas débiteur d’une obligation de résultat, mais d’une obligation de moyen. Et c’est d’ailleurs l’écho commun des autorités de contrôles que l’on retrouve synthétisé également sous la plus de l’ICO : le Marriott aurait dû avoir un meilleur système de monitoring des activités des utilisateurs pour aider à la détection de l’attaque[5].

Grille commune d’interprétation des autorités européennes

 De fait, pour prononcer leurs décisions, les autorités tiennent compte de plusieurs facteurs tels que :

  • La nature de l’atteinte à la donnée : s’agit-il d’une attaque ou d’une négligence du responsable de traitement ?
  • La quantité et la sensibilité des données : s’agit-il de données sensibles ?
  • Le nombre de personnes concernées par l’atteinte : pour ce critère, il convient également de prendre en compte la qualité de la personne concernée (ex. une atteinte concernant des mineurs),
  • La durée de l’atteinte : de quelques jours à plusieurs mois ?
  • Le type de négligence au regard des mesures essentielles de sécurité à mettre en place,
  • Les avertissements prononcés par les autorités avant l’amende,
  • La réactivité de l’organisme et la mise en place de mesures de remédiation,
  • L’absence ou présence de précédents en matière de violations ou d’omissions.
  • Si le responsable de traitement a profité en termes de gains du manquement,

A titre d’exemple, prenons les décisions à l’origine des amendes les plus élevées prononcées en 2018 et en 2020 :

L’évolution des amendes prononcées par l’ensemble des autorités de contrôle se traduit tant par le nombre des décisions que par leurs montants. En 2018, à peine six amendes ont été prononcées sur le fondement du défaut de mesure techniques et organisationnelles de sécurité, contre 67 en 2020.

2019 et 2020 marquent un record en termes de montant des amendes prononcées sur ce fondement.

En 2020, sur un montant total d’amendes de 83 262 105 €[6] prononcées par l’ensemble des autorités européennes, 70 296 000 € l’ont été par l’ICO au Royaume Uni[7] et la Garante en Italie[8] .

En 2019, les autorités de l’Allemagne, de Bulgarie et des Pays Bas ont prononcé un total de sanctions à hauteur de 13 050 000€ tandis que le montant global au niveau de l’Europe était de 17 089 227€.

En conclusion, il faut retenir que l’obligation de moyen à laquelle sont tenus les responsables de traitement s’appréhende tant dans les efforts mis en place au sein de leur structure qu’à l’égard de la culture qui entoure leurs projets : l’existence de recommandation émise par des instances de contrôle, les précédents en matière de sanction (au niveau national et Européen) ainsi que l’ensemble des critères énumérés.  

[1] Délibération de la formation restreinte n°2012-214 du 19 juillet 2012 portant avertissement à l’encontre de la société X

[2] Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE

[3] Délibération de la formation restreinte n°SAN-2020-018 du 8 décembre 2020 concernant la société NESTOR SAS

[4] Recommandations pour la sécurisation des sites web, ANSSI, 2013

[5] Traduction libre des propos suivants : « Marriott ought to have had in place better monitoring of user activity to aid in the detection of an attack, as an additional laye of security.” §6.17 décision de sanction du Marriott International.

[6] Valeur calculée au 4 janvier 2021.

[7] Contre l’AOK, un organisme d’assurance maladie – Février 2020

[8] Contre TIM, un opérateur de téléphonie – Juillet 2020