Nous avons commenté la décision de la CNIL du 28/05/19, prononçant à l’encontre d’un responsable de traitement une amende financière de 400 000 € pour une double atteinte aux droits des personnes par :
L’atteinte à la sécurité de leurs données (article 32 du RGPD), par un défaut de sécurisation d’une adresse URL,
Le non-respect des durées de conservation (article 5-1 du RGPD) puisque la conservation « trop longue » de données rend la continuation du traitement illégal par la perte de sens de la finalité d’origine.
Cette sanction a été prononcée en regard de la stricte application des nouvelles dispositions du RGPD obligatoire depuis le 25/05/18.
Le Conseil d’État dans une décision 10e-9ème chambres réunies, du 17 avril 2019 (le conseil d’État est la voie judiciaire unique de réformation pour la contestation des décisions CNIL), a rendu une sanction à l’encontre d’un responsable de traitement pour des raisons similaires aux manquements relevés par la décision CNIL du 28/05/2019. ; par contre les faits de l’arrêt du 17 Avril ont été examinés à la lumière non pas du rgpd alors non obligatoire en 2017 au moment du contrôle CNIL , mais de la Loi informatique et libertés dans sa version du 7/10/2016.
D’où tout l’intérêt de remettre en perspective ces 2 décisions en rajoutant un bref commentaire d’une autre décision du conseil d’Etat rendu le même jour (17/04/19) dans une autre affaire « Optical Center » pour démontrer que :
La sanction contre les responsables de traitement en cas d’atteinte à la sécurité des données n’est pas une « innovation du RGPD », même si désormais le montant des amendes peut être plus important.
Et surtout on peut trouver en examinant la situation factuelle de ces 3 décisions (voir ci-après) « un fil d’Ariane » à destination du responsable de traitement et/ou du sous-traitant pour vérifier que leurs traitements prennent en compte des règles de gouvernance interne d’organisation de sécurité informatique incontournables notamment pour la sécurisation des adresses URL de leurs fichiers informatiques et/ou de toutes ressources gérées par un serveur Web.
1)La décision du conseil d’État du 17 avril 2019 : les faits
1-a) La cause du problème : Une adresse URL de ressources insuffisamment sécurisée :
C’est la CNIL ici ,à l’occasion d’un contrôle , qui constate un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l’ADEF (le responsable de traitement était une association), permettant à tout tiers non autorisé d’accéder au moyen d’une simple modification des liens URL correspondants, aux documents téléchargés par les demandeurs de logement avec pour conséquence l’accès à divers documents contenant des données personnelles (documents, bulletins de salaire, avis d’imposition, justificatif d’identité etc.).
Premier parallèle avec la décision Sergic du 28/05/19 :
On retrouve la problématique de la modification d’un chiffre dans l’adresse URL de l’espace « utilisateurs » qui permettait l’accès à l’ensemble de la base des données des utilisateurs candidats à un logement avec pour conséquence le téléchargement de tous les documents constitutifs d’un dossier de candidature à un logement avec une identification de données personnelles (bulletins de paie avis d’imposition justificative identité etc.).
1-b) la réactivité du responsable de traitement à la découverte de la faille de sécurité :
Un responsable de traitement très réactif :
Initialement la CNIL constatera, pour l’ADEF, le manquement aux obligations de sécurité du traitement le 15/06/17.
Le 27/06/17 soit 12 jours après le contrôle, la CNIL constate que le responsable de traitement :
Avait pris la mesure correctrice puisque le manquement aux obligations de sécurité avait cessé et n’était plus dès lors susceptible de faire l’objet d’une régularisation.
Deuxième parallèle avec la décision Sergic du 28/05/19 :Un responsable de traitement moins réactif
La constatation du manquement à l’obligation de sécurité est signalée par un utilisateur du site responsable de traitement en mars 2018,
La CNIL constate que plus de 6 mois après, le responsable de traitement n’a pas pris de mesure correctrice efficiente conservatoire même si néanmoins le responsable de traitement travaillait sur un nouveau développement du système de sécurité.
2)La décision du Conseil d’Etat du 17/04/19 : le principe dégagé la confirmation d’ une prévention constante en matière de sécurité :
Sur appel de l’Association Adef, le conseil d’État confirmera la sanction prononcée par la CNIL (Sanction financière et publicité de la décision de sanction pendant 2 ans) aux motifs que :
Il aurait été possible au responsable de traitement de « prévenir » l’atteinte aux données personnelles par des mesures de sécurité simples comme :
L’occultation des chemins d’accès au dossier enregistré,
Ou
L’authentification des utilisateurs du traitement,
La CNIL ayant mis en perspective que :
Par rapport aux moyens importants dont disposait l’association responsable de traitement, elle aurait pu et dû faire preuve de davantage de perspicacité pour les mesures de prévention.
Troisième parallèle avec la décision Sergic du 28/05/19 :
Une faiblesse de l’écriture d’une adresse URL qui portait en germe de pouvoir porter atteinte à son intégrité, avec en sus dans l’organisation interne de la base de données l’absence de processus d’identification personnalisée, et surtout il n’y avait pas eu semble-t-il de réflexion sur un système d’autorisation différent par rapport aux différentes personnes pouvant avoir accès par leur requête aux bases de données avec le filtrage des droits d’accès correspondant.
3)La décision « Optical center » : Décision CNIL SAN-2018-002 du 07/05/18, et sur appel du Conseil d’Etat du 17/04/19 n°422575.
Initialement la CNIL par décision du 07/05/18 avait prononcé à l’encontre de la société Optical center, une sanction pécuniaire de 250 000 €, pour un incident sur une base client contenant 334 769 fichiers, où il suffisait de modifier le paramètre « id » relatif à l’identifiant de la facture visible au sein de l’URL affichée.
Ainsi, les ressources personnelles des clients dans la base (factures, bons de commande, et numéro de sécurité sociale), pouvaient être téléchargées par tout tiers non autorisé.
La sanction avait été assortie d’une mesure de publicité.
Par une décision rendue le même jour que pour l’association ADEF soit le 17/04/19 (décision 422575), le conseil d’État constatant la célérité de la réaction d’ Optical center va réduire la sanction de 50 000 € pour la fixer à 200 000 € en confirmant la nécessité de la même publicité pour sa décision.
4) Pour les 3 décisions (Conseil d’état et CNIL) : La sécurité des données à caractère personnel passe par l’organisation de la sécurité du traitement :
En synthèse de ces 3 décisions la sécurité d’un traitement dont les ressources sont accessibles par un serveur Web nécessite au minimum :
Des procédés d’authentification différents en fonction des utilisateurs lorsque la base de données peut être consultée pour des finalités différentes.
Une réflexion sur l’organisation d’une traçabilité sécurisée des requêtes d’accès ; en tenant compte de la confidentialité des chemins d’accès au dossier individuels.
Mais le message important pour le responsable de traitement c’est que le RGPD accentue la protection individuelle des données en érigeant ce principe comme une nouvelle forme d’un nouveau principe de « protection sociale » sui generis , qui doit viser à tous égards quel que soit le traitement à ne jamais porter atteinte au principe de dignité des personnes érigé par le RGPD comme un principe d’abord à visée collective ,qui se décline ensuite par des obligations individuelles pouvant être revendiquées au cas par cas par les personnes concernées.
C’est bien cette protection du principe de « dignité » qui sous tend ces 3 décisions (Les 2 arrêts du Conseil d’état du 17/04/19 et Cnil du 28/05/19) :
Il n’y a pas pour le responsable de traitement ou son sous-traitant d’oral de rattrapage dès lors que l’atteinte à la dignité de la personne concernée est avérée dans le cadre des contrôles CNIL.
« Le fait », c’est-à-dire l’apparition du risque, par sa réalisation, constitue nécessairement une faute objective qui reste opposable et surtout reprochable indépendamment du degré de réactivité du responsable de traitement pour mettre fin au risque.
Par contre plus la réactivité à trouver des solutions pour arrêter l’accès non autorisé aux données personnelles est grande, et plus alors le responsable de traitement peut « négocier » dans ses moyens de défense vis-à-vis de la CNIL la modulation de la sanction financière et surtout les modalités de la « publicité de la décision de sanction » ; mais la responsabilité en tout cas du responsable de traitement reste un « fait acquis ».
Encore que la voie ici est étroite ensuite pour une « modulation » des conséquences du manquement à l’obligation de sécurité comme on le voit par les comparaisons des décisions :
La sanction administrative par la CNIL de cette atteinte objective à la dignité de la personne concernée que le spécialiste en droit des données personnelles, Maître Alain Bensoussan, a qualifié de « nouveau droit à la dignité numérique » dans sa préface au livre blanc : «Big Data is beautiful » rédigé par Frédérique Agnès (voir www.alain-bensoussan.com/avocats/publication-du-livre-blan-big-data-is-beautiful/2019/06/21).
Cette montée en puissance de ce nouveau principe de droit émergent de « dignité numérique » trouve son fondement général notamment dans le Considérant 26 du RGPDselon l’extrait suivant :
« Il y a lieu d’appliquer des principes relatifs à la protection des données à toutes informations concernant une personne physique identifiée ou identifiable…, Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tel que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. »
Mais attention, si l’on parle souvent des conséquences du RGPD vis-à-vis du responsable du traitement ou du sous-traitant en regard des sanctions financières de nature administratives pouvant être pris par la CNIL, et/ou confirmé par le conseil d’État, il y a aussi un autre risque dont on parle moins souvent mais qui est tout aussi important.
C’est tout simplement le risque lié à la mise en cause de la responsabilité civile et/ou pénale de celui qui a mis en œuvre le traitement avec le risque de se voir opposer par son assureur responsabilité civile un défaut de garantie, s’il apparaît que les conséquences de l’atteinte aux droits de la personne concernée ne respectent pas le principe obligatoire du RGPD.
Donc, les responsables de traitement seront bien inspirés de se pencher avec grande attention sur le contenu des clauses générales et particulières de leur contrat d’assurance.
S’ils ont acquiescés au moment de la signature du contrat sur une déclaration de conformité de la protection de leurs réseaux et systèmes d’information, et sur la résilience des activités ; et qu’ils ne peuvent ensuite documenter et donc prouver le contenu d’une charte interne d’organisation de la sécurité des réseaux et système d’information, ils peuvent s’exposer alors à un défaut de garantie de l’assureur dont on voudra bien rappeler que celui-ci assure un « risque » mais pas les conséquences d’une responsabilité conséquence d’un non-respect des règles applicables, lesquelles sont fixées pour les traitements de données personnelles par le RGPD .
Pour terminer sur l’analyse de la décision du Conseil d’État du 17/04/19 dans l’affaire ADEF, il n’est pas sans importance de souligner que le motif du recours du responsable de traitement était fondé notamment sur la contestation de la mesure de la publication de la sanction financière.
La CNIL, en prenant sa décision portant une sanction financière l’avait assorti d’une mesure de publication de sa décision pendant une durée de 2 ans.
C’est cette durée que contestait le responsable de traitement devant le conseil d’État.
Peine perdue car le conseil d’État confirmera la décision de la CNIL en considérant que la publication de la décision était nécessaire pour :
Assurer le caractère dissuasif,
Et
Informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés.
Pour le Conseil d’État, ces 2 principes participent d’une « pédagogie judiciaire par l’explication » à destination des responsables de traitements et d’une manière générale des acteurs économiques de la « Donnée » sur leur compréhension des risques liés à l’utilisation des moyens technologiques.
La fixation notamment de la durée de la publication de la décision dépend de :
La gravité du manquement sanctionné
La quantité des données à caractère personnel atteint.
S’en découle à destination des responsables de traitement que par ces 2 décisions (conseil d’État ADEF du 17 avril 2019 et décision CNIL Sergic du 28/05/19) que :
Tout « traitement » doit être audité en permanence pour justifier de la cohérence des moyens mis en œuvre par rapport aux technologies disponibles au moment du choix initial(Privacy by Design), en tenant compte de l’évolution de la technologie afin de toujours mobiliser l’ensemble des mesures disponibles à une protection maximale pendant le traitement (Privacy by Défault) ; c’est cela l’Accountability.
L’organisation de la sécurité d’un traitement résulte donc de la synergie et du travail en commun de plusieurs partenaires, en ce compris le regard de « l’assureur responsabilité civile » et doit donc s’organiser par des clauses contractuelles spécifiques et surtout personnalisées, même pour le contrat d’assurance.
Cette ingénierie contractuelle ne s’improvise pas et doit être supervisée par l’avis et les conseils du « Délégué à la Protection des données » ou « DPO », qui avec le RGPDdevient pour l’entreprise quelque soit son rôle « responsable de traitement » ou « sous-traitant » incontournable.
Véronique Rondeau-Abouly
Avocat- DPO Externe
cabinet@rondeau-abouly.com