Par une délibération du 18 juillet 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 40.000 euros à l’encontre de la société Hertz France pour manquement à son obligation de sécurité des données dans le cadre d’une relation de sous-traitance.
C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation de données sous l’empire de la loi du 7 octobre 2016 pour une République numérique, entrée en vigueur, pour les dispositions appliquées en l’espèce par la CNIL, le 9 octobre 2016 (soit le lendemain du jour de la publication de la loi pour une République numérique) (1). Avant cette loi, en l’absence de mise en demeure, seul un avertissement pouvait être décidé dans une telle hypothèse (2) (voir §. 2 ci-dessous).
Cette décision est l’occasion d’insister sur la nécessité d’encadrer contractuellement la relation entre le responsable de traitement et son sous-traitant (1). Elle permet, en outre, d’éclairer la façon dont la CNIL applique les dispositions de la loi pour une République numérique renforçant son pouvoir de sanction (2).
Rappel des faits
Dans le cadre de ses activités, la société Hertz France a créé en 2011 un programme proposant des réductions sur les locations de véhicules pour lequel le site web www.cartereduction-hertz.com a été conçu (ci-après, le « Site »).
Le 15 octobre 2016, l’éditeur du site web www.zataz.com a informé les services de la CNIL que le traitement de données à caractère personnel accessible à partir de l’URL http://www.cartereduction-hertz.com/create_carte_cb.aspx permettrait une violation des données de plus de 40 000 clients de la société Herzt France.
Le 21 octobre 2016, une mission de vérification en ligne a été opérée sur le Site par les services de la CNIL. Il a été constaté qu’en ajoutant à cette adresse URL la chaîne de caractères cartcb_id= et un numéro correspondant à un identifiant, les pages affichées faisaient apparaitre les données à caractère personnel renseignées par les personnes ayant adhéré au programme de réduction, notamment leurs nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire. Les services de la CNIL ont ainsi pu accéder aux données à caractère personnel de 35 327 personnes.
A l’issue du contrôle, la CNIL a pris contact avec la société Hertz France pour l’informer de l’existence d’une violation de données à caractère personnel sur le Site.
Le 28 octobre 2016, la CNIL a effectué un second contrôle. La société Hertz France a informé la CNIL du fait que le développement du Site avait été confié à un sous-traitant. La société Hertz France a indiqué en outre que dès qu’elle a été prévenue par la CNIL de l’existence de la violation de données, elle en a immédiatement alerté son sous-traitant qui a mis en place les correctifs nécessaires.
Ce dernier lui a mentionné que la violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. A l’occasion de ce contrôle, la CNIL a pu constater que la violation de données avait cessé.
Le 16 novembre 2016, la CNIL a effectué une mission de contrôle dans les locaux du sous-traitant de la société Hertz France. Celui-ci a indiqué à la CNIL qu’aucun cahier des charges spécifique à la mise en œuvre du Site ne lui avait été imposé par la société Hertz France.
Le sous-traitant a confirmé à la CNIL que la violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs, causant le réaffichage du formulaire contenant l’ensemble des données à caractère personnel renseignées par les personnes s’inscrivant au programme de réduction.
Le sous-traitant a également précisé qu’il avait procédé à la mise en production des modifications nécessaires quelques heures après avoir été alerté par la société Hertz France, qui a fait procéder à un audit de sécurité sur les traitements mis en œuvre pour son compte par son sous-traitant.
1. La nécessité d’encadrer contractuellement la relation entre le responsable de traitement et le sous-traitant
La CNIL rappelle que l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La société Hertz France, qui ne conteste pas la violation de données personne portée à sa connaissance par la CNIL, rappelle qu’elle en a immédiatement informé son sous-traitant et que ce dernier a mis en œuvre les correctifs adéquats moins de quatre heures après le signalement de l’incident par la CNIL.
La société Hertz France a tenté de s’exonérer de sa responsabilité en imputant les manquements à son sous-traitant. Elle explique en substance :
– qu’elle a spontanément décidé de faire procéder à un audit de sécurité de son prestataire, qu’elle l’a communiqué à la CNIL ;
– qu’à l’issue de cet audit, son sous-traitant avait déjà déployé plusieurs recommandations préconisées par le rapport ;
– le contrat conclu avec son sous-traitant contenait une clause spécifique à la protection des données à caractère personnel et que la survenance de la violation de données est la conséquence d’une erreur commise par celui-ci.
La CNIL retient néanmoins que la violation de données résulte d’une négligence de la société Hertz France dans la surveillance des actions de son sous-traitant.
Elle note tout d’abord que la société Hertz France n’a imposé aucun cahier des charges à son prestataire s’agissant du développement du Site.
La CNIL relève ensuite que l’opération de changement de serveur, à l’origine de la violation de données, concernait les serveurs permettant de communiquer avec le prestataire de paiement et constituait donc une opération délicate requérant une attention particulière.
Selon la CNIL, la société Hertz France aurait dû s’assurer, à la suite de cette opération, que la mise en production du Site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité.
La CNIL en conclut donc que la société Hertz France en sa qualité de responsable de traitement n’avait pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.
Cette décision permet d’insister, avec l’application imminente du Règlement général sur la protection des données (ci-après le « RGPD »), sur (i) la nécessité d’encadrer contractuellement la relation entre le responsable de traitement et son sous-traitant dans le cadre de projet informatique impliquant la gestion de traitement de données personnelles, et (ii) l’importance d’instaurer en interne des procédures de notification des incidents de sécurité aux autorités de régulation compétentes . (3)
L’article 28 du RGPD précise les obligations à respecter dans le cadre d’une relation de sous-traitance. Tout d’abord, le responsable doit faire « uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du [présent] règlement et garantisse la protection des droits de la personne concernée ».
Ensuite, le traitement de données par un sous-traitant pour le compte du responsable de traitement doit être régi par un contrat qui lie le sous-traitant à l’égard du responsable de traitement.
Ce contrat doit énoncer les obligations mises à la charge du sous-traitant, qui pourra dorénavant être tenu responsable de ses manquements au titre de la protection des données (les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement). Ce contrat détermine également la nature et la finalité du traitement, l’objet et la durée de conservation des données, le type de données, les catégories des personnes concernées.
En pratique, il est donc recommandé au responsable de traitement de (4) :
– choisir un prestataire qui présente des garanties suffisance en matière de sécurité ;
– conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles ;
– définir précisément ses exigences techniques notamment au moyen d’un cahier des charges ou d’annexes au contrat ;
– de prévoir contractuellement la possibilité d’auditer le prestataire afin de s’assurer du respect par ce dernier de ses obligations au titre du contrat et de la réglementation applicable.
Les nouvelles exigences du RGPD en matière de sous-traitance auront des conséquences sur les contrats de prestation de services ou d’externalisation qui impliquent le traitement de données à caractère personnel. Il est recommandé d’auditer les contrats existants afin de déterminer dans quelles mesures ils devront être modifiés afin d’être conformes au RGPD.
2. Une sanction à valeur d’exemple ?
La CNIL a ici fait usage des nouveaux pouvoirs qu’elle tient à la fois de l’article 44-III de la loi n° 78-17 du 6 janvier de 1978, introduit par la loi Hamon (n° 2014-344 du 17 mars 2014 relative à la consommation), l’autorisant à procéder directement à des contrôles en ligne et des articles 45-I et 47 modifiés par la loi pour une République numérique permettant que soit prononcée une sanction pécuniaire d’un montant maximal de 3 millions d’euros à l’encontre du contrevenant sans mise en demeure préalable.
Le dispositif du contrôle en ligne, très innovant en matière de pouvoir d’enquête des autorités administratives indépendantes (5), permet aux agents de la CNIL d’utiliser des preuves recueillies en ligne sans avoir à les confirmer par des contrôles sur place ou par constat d’huissier. En l’espèce, les données personnelles, « rendues accessibles » par la négligence du sous-traitant, pouvaient donc bien faire l’objet du contrôle en ligne et le seul fait qu’elles aient été librement accessibles constituait le cœur de l’infraction sanctionnée par la CNIL.
Compte tenu de la date du constat, le 21 octobre 2016, les nouvelles dispositions issues de l’article 64 de la loi pour une République numérique étaient applicables. Celles-ci autorisent la CNIL à prononcer directement une sanction pécuniaire à l’encontre du contrevenant lorsque « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ». Dans sa rédaction antérieure, l’article 45-I de la loi de 1978 prévoyait une seule sanction d’application immédiate (sans le filtre de la mise en demeure) : l’avertissement. Le prononcé des autres sanctions nécessitait une mise en demeure préalable non suivie d’effet. C’est ce qui explique la différence de traitement entre les sociétés Hertz France et Ouicar (délibérations de la CNIL publiées à deux jours d’écart) poursuivies pour les mêmes manquements : la première se voit infliger une sanction pécuniaire alors que la seconde ne reçoit qu’un avertissement. Dans ce dernier cas, les faits avaient été constatés par la CNIL en juillet 2016 et il y avait été remédié avant la publication de la loi pour une République numérique.
L’on peut, néanmoins, s’interroger sur l’application faite ici par la CNIL de la nouvelle dérogation l’autorisant à prononcer directement une sanction pécuniaire lorsque « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ». Cette rédaction invite à une appréciation objective de l’impossibilité de mise en conformité dans le cadre d’une mise en demeure : cette impossibilité échapperait au pouvoir ou à la volonté du contrevenant ou résulterait de la nature même du manquement. Or, en l’espèce, l’impossibilité était subjective : il n’était pas possible pour la société Hertz France de se mettre en conformité dans le cadre d’une mise en demeure, tout simplement parce que dès qu’elle avait été avertie par la CNIL de la faille de sécurité, elle y avait remédié.
C’est donc à une interprétation large du texte que procède la CNIL qui pourrait s’expliquer par la nature du manquement (6) : la faille de sécurité résulte souvent d’une négligence, d’une erreur dépourvue d’intention. Dès que le manquement est signalé, le contrevenant mettra généralement tout en œuvre pour y remédier, rendant inutile toute mise en demeure. Or, , le manquement a bien eu lieu : la CNIL devrait-elle ne pas sanctionner au seul motif que le manquement a disparu ? Les nouvelles dispositions, telles qu’elles sont ici mises en œuvre par la CNIL, sont donc moins clémentes que les textes antérieurs. Le contrevenant peut faire l’objet d’une sanction alors même qu’il a remédié au manquement en dehors de toute mise en demeure.
Dans ce cas, la sanction prononcée a valeur d’exemplarité : il s’agit de sanctionner le manquement même s’il résulte d’une négligence du contrevenant et même si celui-ci a immédiatement mis en œuvre les mesures propres à y remédier.
La sanction prononcée contre la société Hertz France est donc exemplaire dans son principe même – ce qui explique que la CNIL en ait ordonné la publication (7) . Elle l’est moins dans son quantum (40.000 €) puisque la CNIL fait une application très classique en matière de sanction administrative, du principe de proportionnalité de la peine aux circonstances de fait. A cet égard, l’article 47 de la loi de 1978 précise les circonstances qui doivent être prises en compte par la CNIL dans son appréciation du montant de la sanction. (8)
La délibération commentée est particulièrement circonstanciée sur ce point : caractérisation de la négligence de la société Hertz France puis mise en balance avec son comportement une fois que son manquement lui a été révélé.
Comme c’est le cas pour les sanctions prononcées par plusieurs autres autorités administratives indépendantes (9) , la délibération commentée est susceptible de faire l’objet d’un recours de pleine juridiction devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification (expirant autour du 18 septembre 2017). A la différence du recours pour excès de pouvoir (qui ne peut aboutir qu’à l’annulation de la décision attaquée si les moyens sont fondés), le recours de pleine juridiction permet au Conseil d’Etat de substituer sa décision à celle prise par l’autorité administrative.
Si la délibération commentée illustre de manière exemplaire le renforcement du pouvoir de sanction de la CNIL, dans le contexte de l’entrée en vigueur du RGPD, l’on notera qu’il est presque préférable pour le contrevenant de faire l’objet d’une mise en demeure préalable et de s’y conformer puisque dans ce cas, le président de la CNIL doit prononcer la clôture de la procédure et la formation restreinte ne peut plus sanctionner le manquement.
(1) Articles 64 et 65 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
(2) Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR.
(3) L’article 33 du RGPD généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.
(4) Recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services de Cloud computing.
(5) Qui a d’ailleurs largement inspiré la rédaction du denier alinéa de l’article L. 32-4-II du code des postes et des communications électroniques autorisant également l’Autorité de régulation des communications électroniques et des postes (ARCEP) à procéder à des contrôles en ligne.
(6) Ou, plus prosaïquement, par l’imminence de l’entrée en vigueur du RGPD ?
(7) La publication est une sanction complémentaire décidée discrétionnairement par la CNIL, sous réserve du principe de proportionnalité.
(8) « Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission. Le montant de la sanction ne peut excéder 3 millions d’euros ».
(9) Conseil supérieur de l’audiovisuel, ARCEP, Commission de régulation de l’énergie, Autorité de régulation des activités ferroviaires et routières ou Autorité des marchés financiers; les sanctions prononcées par l’Autorité de la concurrence relèvent de la compétence de la cour d’appel de Paris.
Rédigé par
Laurent Badiane ASSOCIÉ
laurent.badiane@kleinwenner.eu
+33 (0)1 44 95 20 00
Virginie Delannoy Counsel
virginie.delannoy@kleinwenner.eu
+33 (0)1 44 95 20 00