CNIL et violation de données personnelles

La question de la sécurité des données devient éminemment importante pour tout acteur économique. Le 18 juillet, une première sanction pécuniaire a été prononcée par la CNIL depuis l’entrée en vigueur de la Loi pour une République numérique, fin 2016. Ces sanctions risquent fort de se développer de manière exponentielle dans les mois et années à venir, a fortiori une fois que le RGPD entrera en application, le 25 mai 2018. 
 

En octobre 2016, la CNIL (Commission nationale de l’informatique et des libertés) a été informée d’un incident de sécurité sur le site de la société HERTZ. Un contrôle a permis de constater qu’il était possible d’accéder librement à partir d’une adresse URL (Uniform Ressource Local) aux données de plusieurs dizaines de milliers de clients notamment l’identité, les coordonnées et le numéro de permis de conduire. L’erreur a été commise par un prestataire lors d’une opération de changement de serveur ; la suppression accidentelle d’une ligne de code avait entrainé le réaffichage des formulaires remplis par les adhérents au programme de réduction.

La CNIL a prononcé une sanction limitée à 40 000 euros (délibération du 18 juillet 2017) compte-tenu de la bonne réaction de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission.
Il convient de noter que c’est la première sanction pécuniaire prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016.

Avant cette loi, la seule sanction possible était un avertissement. C’est d’ailleurs la situation exposée dans une délibération du 20 juillet 2017 concernant la société OUICAR. Pendant trois années, la violation de données a concerné plusieurs centaines de milliers de personnes et portait sur leurs nom, prénom, adresse, téléphone et données de localisation du véhicule proposé.

En ne mettant pas en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées, tout internaute pouvait modifier dans l’URL, la variable correspondant à l’identifiant de chaque utilisateur ; il s’agit d’un défaut élémentaire de sécurité.

En conclusion, il convient de rappeler d’une part, que l’utilisation d’un sous-traitant n’est pas un motif pour échapper à une sanction et d’autre part, que les textes actuels et les prochains, notamment le Règlement européen sur la protection des données à caractère personnel (RGPD) qui entrera en vigueur le 25 mai 2018, renforcent considérablement le niveau des sanctions.