Les manquements aux obligations de sécurité et de confidentialité des données à caractère personnel sont dans la ligne de mire de la CNIL : l’autorité de contrôle a, en effet, publié deux décisions au mois de décembre 2018 prononçant des sanctions importantes dans deux affaires distinctes, à hauteur de 400.000 euros pour Uber et 250.000 euros pour Bouygues Telecom, sous l’égide de l’ère pré-RGPD.
Par deux décisions publiées respectivement les 19 et 26 décembre 2018, la CNIL a sanctionné des manquements aux obligations de sécurité et de confidentialité du responsable de traitement dans deux affaires dont l’analyse comparée permet d’appréhender le niveau de conformité attendu par l’autorité de contrôle, malgré des contextes totalement distincts.
La première affaire concerne la société Uber France SAS (et plus généralement, l’intégralité du traitement des données par le groupe Uber). En l’espèce, la société américaine Uber Technologies Inc. a informé ses utilisateurs, par voie de publication sur son site internet au mois de novembre 2017, que deux personnes non autorisées avaient réussi à accéder aux données de 57 millions d’utilisateurs, dont 1,4 million en France (1,2 millions d’utilisateurs et 163.000 conducteurs). En complément de cette information globale, la société néerlandaise Uber B.V. a adressé un courrier au G29 (regroupement de l’ensemble des CNIL européennes) précisant les circonstances d’une telle violation des données pour l’Europe, les mesures prises pour y remédier et confirmant sa volonté de coopérer au mieux avec les autorités compétentes.
C’est dans ce cadre que la CNIL s’est saisie de ce dossier pour la France et a sollicité des deux entités étrangères des informations quant aux motifs d’une telle violation : après investigations, il a été conclu que celles-ci trouvaient son origine dans un « enchainement de négligences » ayant permis l’accès à un espace privé sur une plateforme tierce utilisée par des ingénieurs logiciels.
La CNIL a décidé d’entrer en voie de sanctions à l’encontre de l’entité française « en qualité d’établissement » des deux sociétés étrangères, la CNIL faisant application d’une récente jurisprudence « Facebook » de la CJUE. A ce titre, et bien que la décision ne semble retenir aucun grief spécifique à l’encontre de l’entité française, la CNIL a considéré que cette sanction était justifiée du fait « de la nature des liens entre la société UBER FRANCE SAS et les responsables du traitement, qui mettent en œuvre leurs opérations de traitement dans le cadre des activités propres de leur établissement français », la CNIL considérant qu’elle « ne saurait être regardé[e] comme méconnaissant le principe de personnalité des peines ». Le lecteur regrettera que la nature précise des liens n’ait pas été plus détaillé pour appréhender cette affirmation.
Afin de réduire le montant de 400.000 euros proposé par le rapporteur, Uber faisait valoir que les données concernées n’entraient pas dans la catégorie des « données sensibles ». Cet argument n’a néanmoins pas été retenu par la CNIL, celle-ci estimant (i) d’une part, que « le fait que les données accessibles ne contiennent aucune donnée pouvant être qualifiée de sensible (…) est sans influence sur la caractérisation du manquement à l’obligation [de] sécurité », (ii) d’autre part, que le volume de la violation était très important de personnes et qu’enfin (iii) « si aucun dommage subi par les personnes à la suite de la violation de données n’a été rapporté à ce jour, la preuve de l’absence totale de dommage ne peut être invoquée par la société ».
La seconde affaire concerne la société Bouygues Telecom, laquelle a été informée par des utilisateurs de l’existence d’un défaut de sécurité sur son site internet. La société a alors procédé à une notification de violation auprès de la CNIL en mars 2018, laquelle avait, en tout état de cause, déjà reçu des signalements du manquement constaté quelques jours auparavant. En l’espèce, la vulnérabilité constatée trouvait son origine en 2015, celle-ci n’ayant jamais été remarquée jusqu’alors, lors de la fusion des marques Bouygues Telecom et B&You.
Afin de démontrer les efforts mis en œuvre, le responsable de traitement a fait état de ses protocoles de sécurité par le biais de la réalisation de plusieurs tests d’intrusion et d’audits portant sur le code de son site web. La CNIL a néanmoins considéré que « ces tests n’étaient pas adaptés aux spécificités de la base héritée et qu’ils ne pouvaient amener à la découverte de la vulnérabilité. Ces tests étaient donc inefficaces en l’espèce ».
Là encore, la CNIL est entrée en voie de sanction en suivant les préconisations du rapporteur qui proposaient une sanction de 250.000 euros, montant « allégé » face aux 500.000 euros initiaux proposés mais réduit suite aux observations formées par Bouygues Telecom. Ce montant a été principalement justifié par le fait que « si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations [de sécurité] », la CNIL estimant que « des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier ».
Ces deux décisions appellent à deux commentaires principaux.
En premier lieu, la CNIL analyse de manière particulièrement rigoureuse le respect des obligations en matière de sécurité et de confidentialité.
Naturellement, si cette première conclusion est sans surprise (et dans la continuité des décisions antérieures, notamment celle prononcée en janvier 2018 concernant Darty), elle permet également de détailler la grille d’analyse de la CNIL, en fonction des circonstances d’espèce.
Ainsi, la CNIL a rapidement rejeté l’argumentaire proposé par Uber portant sur l’absence de données sensibles et base sa décision sur le fait qu’une telle violation ne peut qu’entrainer de facto un dommage par les personnes concernées même si celui-ci n’est pas constaté au jour de la décision.
S’agissant de la seconde décision, la CNIL reconnaît les efforts entrepris par l’opérateur pour réagir le plus promptement possible afin de mettre à terme aux manquements pour l’avenir et en minimiser l’impact pour le passé. L’autorité reconnaît également qu’une erreur humaine reste toujours possible. Ceci étant, cette « bonne foi » concernant les mesures mises en œuvre a posteriori ou encore le fait que la violation ne soit pas issue d’un acte frauduleux n’ont néanmoins eu qu’un impact limité, la CNIL reprochant à la société de ne pas avoir mis en place, en amont, les outils nécessaires pour alerter d’un tel défaut de sécurité.
En second lieu, le quantum des sanctions invite à anticiper celles qui seront prononcées à l’avenir : en effet, ces deux décisions portent sur des manquements antérieurs à la mise en œuvre du RGPD et font donc application du régime « ancien » qui, en vertu de l’article 47 de la Loi Informatique et Libertés tel que modifié par la loi du 7 octobre 2016, portait le montant maximal de la sanction à 3 millions d’euros.
Le montant – déjà important – des sanctions est-il indexé sur ce plafond maximal ou a-t-il été établi en fonction de la violation réelle constatée ? En d’autres termes, ces sanctions auraient elles-été plus lourdes encore si les manquements avaient été constatés après le 25 mai 2018 ? Il faudra naturellement atteindre quelques années pour pouvoir établir les premiers constats.
Olivier HAYAT, Avocat, HAYAT AVOCAT