Par une décision rendue le 28 mai 2019 (1) , la Commission nationale de l’informatique et des libertés (la « CNIL ») a prononcé une sanction de 400 000 euros à l’encontre d’une moyenne entreprise spécialisée dans la promotion immobilière pour avoir insuffisamment protégé les données à caractère personnel des utilisateurs (les « Données ») de son site web et mis en œuvre des modalités de conservation des données inappropriées. Cette sanction s’inscrit dans un mouvement par lequel la CNIL s’attache à contrôler l’ensemble des entreprises indépendamment de leur taille, et de leur chiffre d’affaires, afin de ne pas sanctionner uniquement les géants de l’Internet.
1. Contexte
Une société immobilière proposant un espace de stockage de données à caractère personnel sur le site internet qu’elle édite. La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite un site internet permettant notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier (le « Site »).
Des données librement accessibles à tous. Après avoir reçu une plainte d’un utilisateur du Site indiquant avoir pu accéder, depuis son espace personnel, à des données à caractère personnel d’utilisateurs en modifiant légèrement l’URL affichée dans le navigateur, un contrôle réalisé par la CNIL a permis de confirmer que des documents tels que des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, étaient librement accessibles et téléchargeables, sans authentification préalable.
Des corrections tardives. A l’occasion d’un nouveau contrôle réalisé quelques jours plus tard, il est apparu que la Société avait connaissance de la vulnérabilité du Site depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.
2. Les manquements constatés
2.1. Le manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel
Un manquement caractérisé par l’accessibilité des Données. La CNIL relève que l’accessibilité des Données par des tiers non autorisés traduit une conception défectueuse du Site, caractérisée en l’espèce par l’absence de mise en place d’une procédure d’authentification des utilisateurs, alors qu’il s’agit d’une mesure de sécurité élémentaire qui aurait permis de garantir la confidentialité des données personnelles traitées, conformément à l’article 32 (1) ii (2) .
Une vulnérabilité répandue. La formation restreinte rappelle à ce titre que l’exposition de Données sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses sanctions pécuniaires publiques pour des faits similaires.
Des circonstances aggravantes. En l’espèce, le manquement est aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction, les Données des utilisateurs étant restées accessibles durant au moins six mois alors même que la société SERGIC en avait connaissance. Cette sanction illustre ici la volonté de la CNIL de sanctionner les opérateurs économiques n’ayant pas fait de la sécurité leur priorité (3).
2.2. Le manquement à l’obligation de conserver les données pour une durée proportionnée
Rappel du principe de proportionnalité. La formation restreinte rappelle que l’article 5-1-e) du RGPD impose de déterminer la durée de conservation des Données « en fonction de la finalité du traitement ». Lorsque cette finalité est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses.
La conservation des Données en archivage intermédiaire. Ainsi, après avoir opéré un tri des données pertinentes à archiver, le responsable de traitement doit prévoir, à cet effet soit, (i) une base de données d’archives dédiée soit (ii) une séparation logique dans la base de données active qui « est assurée par la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder ».
La conservation sans limite des Données par la Société. Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.
3. Les sanctions prononcées
L’absence de mise en demeure préalable : la fin de l’indulgence. La société argue que l’engagement immédiat d’une procédure de sanction, sans mise en demeure préalable, l’a privée de la possibilité de se mettre en conformité. Or, la formation restreinte rappelle que le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure. Cette absence de mise en demeure préalable va dans le sens du discours de la Présidente de la CNIL qui avait précisé, lors de la présentation du bilan d’activité 2018 que « trois ans après l’adoption du règlement et un an après la mise en place, c’est la fin d’une certaine tolérance qui est liée à cette transition ».
Une sanction circonstanciée. La formation restreinte a prononcé une amende de 400 000 euros prenant en compte la taille de la société et sa surface financière, et décidé de rendre publique sa sanction. A ce titre, elle a notamment tenu compte (i) de la gravité du manquement, (ii) du manque de diligence de la société dans la correction de la vulnérabilité et (iii) du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes.
Faire primer la transparence. Les délibérations de la CNIL en matière de sanction prouvent que cette dernière prend en considération le comportement de l’opérateur contrôlé, et notamment sa réactivité, les mesures prises dans la résolution de la violation, sa bonne foi ainsi que son niveau de coopération avec ses services lors de l’enquête. Il est donc conseillé, lorsqu’une telle situation se présente d’être transparent avec la CNIL mais aussi de contrôler l’application effective des règles instaurées en interne.
(1) Délibération de la formation restreinte n° SAN – 2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société SERGIC.
(2) L’article 32 (1) du Règlement dispose que : Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris :
i. la pseudonymisation et le chiffrement des données à caractère personnel ;
ii. des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
iii. des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
iv. une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
(3) Cette tendance avait été annoncée dans le numéro 4 de la Lettre du DPO éditée le 18 janvier 2019.
Rédigé par
Laurent Badiane ASSOCIÉ
laurent.badiane@kleinwenner.eu
+33 (0)1 44 95 20 00
Lisa Bataille AVOCAT
lisa.bataille@kleinwenner.eu
+33 (0)1 44 95 20 00