Délibération Cnil du 28/05/2019; sanction et amende pour atteinte à la sécurité
Par une délibération du 28/05/19, la formation restreinte de la CNIL a prononcé une amende de 400 000 € à l’encontre d’un responsable de traitement dont l’activité était la location immobilière, et la gestion de mandats locatifs entre « propriétaires bailleurs » et « locataires ».
La sanction a été prononcée pour une double atteinte à la sécurité des données (article 32 du RGPD) et un non-respect des durées de conservation (article 5-1 du RGPD).
L’examen attentif de la délibération CNIL (délibération de la formation restreinte n° san-2019-005 du 28 mai 2019) est d’un grand intérêt pour comprendre la méthode de raisonnement de la CNIL dans la mise en application du RGPD par rapport à ses principes fondamentaux ; afin de proposer aux responsables de traitements qu’ils s’approprient après un an d’application des textes nouveaux « l’esprit du texte » et ainsi mettent en place des critères de gouvernance conformes pour éviter de se retrouver dans la situation fort embarrassante du responsable de traitement qui vient d’être condamné à la sanction très importante ci-dessus.
1)Un bref rappel du contexte dans lequel la CNIL a été saisi n’est pas sans intérêt :
Un usager du site propriété du responsable de traitement postulait à la location d’un bien immobilier, et en téléchargeant les pièces justificatives nécessaires à la constitution de son dossier il constate à propos de l’adresse URL affichée dans le navigateur à partir de son espace personnel que celle-ci pouvait être modifiée par un seul caractère ce qui lui permettait alors à partir de son espace personnel d’avoir accès :
Aux pièces justificatives qu’il avait lui-même téléchargé via le site, mais également à tous les autres documents personnels d’autres candidats à la location.
Cet usager va donc tenir informé la société responsable du traitement des imperfections liées au fonctionnement de son site en mars 2018.
Sans doute la communication entre cet usager et le responsable de traitement n’a pas dû donner satisfaction au premier puisque 5 mois après en août 2018 il saisira la CNIL d’une plainte contre le responsable de traitement en lui remettant un dossier constitué par :
- Les exemples d’adresses URL à partir desquels il avait pu accéder à des pièces téléchargées constituant des données personnelles de tiers,
- Avec également le double de la lettre initiale qu’il avait faite au responsable de traitement.
Le 05/09/18 la CNIL effectuera un premier contrôle en ligne suivie d’un contrôle dans les locaux de la société les 7 et 13 septembre 2018 qui permet à l’autorité administrative de constater avec grande contrariété que le dysfonctionnement dans la sécurité des données pourtant porté à la connaissance du responsable de traitement en mars 2018 ; 6 mois après, au moment de son propre contrôle n’avait pas été éradiqué ; et que les failles du dispositif de sécurité à partir du site Web lui permettait 6 mois après la découverte de l’usager à partir de son site Web de télécharger dans les mêmes conditions que celui-ci c’est-à-dire en modifiant dans l’adresse URL « la modification d’un signe soit un chiffre » des documents dans la base de données des utilisateurs qui contenaient au jour du contrôle plus de 290 870 fichiers !
Aspect procédural à retenir, le responsable de traitement considérait que les manquements reprochés auraient pu être corrigé dans le cadre d’une mise en demeure préalable, estimant que l’engagement immédiat d’une procédure de sanction sans mise en demeure préalable l’aurait privé de la possibilité de se mettre en conformité (décision CNIL du 28 mai 2019 § 26 et 27).
Dans ce § 27, l’autorité de contrôle répondra :
Qu’elle seule dispose de l’opportunité des poursuites ,et reste libre de déterminer en fonction des circonstances de l’espèce des suites à porter à ses investigations, son choix entre « mise en demeure » ou « saisine de la formation restreinte » dépend de la gravité des manquements constatés et sans doute, rajoutons nous du signal qu’elle veut donner dans la construction de sa jurisprudence, qui doit servir de modèle pour contribuer pour les « responsables de traitement » à adapter leur Accountability du système de gouvernance interne de leurs données.
2)Sur la caractérisation du manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel quel est l’enseignement pratique à retenir :
Au regard de la « facilité » avec laquelle l’adresse URL de l’espace client pouvait être modifiée, la CNIL va reprocher au responsable de traitement de ne pas s’être davantage interrogé pour paramétrer sur le site l’accès à l’espace client en s’assurant davantage du niveau de sécurité du contenu du « répertoire client » c’est-à-dire :
D’abord pour sécuriser l’adresse URL partout ; processus adéquat qui aurait empêché l’atteinte à l’intégrité de l’écriture de l’adresse (décision CNIL § 33),
Ensuite par un moyen d’authentification de veiller à ne permettre l’accès à l’espace client que par la personne à l’origine du téléchargement,
Enfin de réduire les personnes pouvant formuler des requêtes pour l’accès à la base de données par une documentation des autorisations (Qui peut lire la base ? Qui peut avoir accès à quels documents ? Qui peut modifier le contenu de la base et dans quelles limites ? Qui peut supprimer des données ? Qui gère les délégations d’accès ?)
La CNIL va considérer que la mise en place d’un processus d’authentification répondant aux critères ci-dessus aurait dû être pensé par l’organisation du fonctionnement du site Web ( application des principes de la Privacy by Design et de la Privacy by Default (décision CNIL § 31), et que cette absence de réflexion dans la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées constituait un grave manquement au respect de l’article 32 du RGPD(décision CNIL § 35).
Sur la portée du manquement, la CNIL va reprocher au responsable de traitement une réaction beaucoup trop tardive au regard du risque encouru pour les personnes concernées.
Pour sa défense le responsable de traitement indiquait que dès le mois de mars 2018 après la réception de la lettre de l’usager il avait mandaté un prestataire pour trouver une solution passant par le développement de nouvelles mesures de sécurité en cours au moment du contrôle CNIL en septembre 2018.
Cette « excuse » pour minimiser les conséquences du manquement à son obligation de sécurité n’a pas été entendue par la CNIL.
Evidemment si la démarche d’amélioration et d’adaptation était « un minimum », au regard du caractère « hautement personnel » voir même « sensible » des données rendues accessibles puisque certains avaient communiqués notamment leur carte vitale, des documents fiscaux, des jugements de divorce etc. :
Le responsable de traitement aurait dû avoir le réflexe de prendre des mesures conservatoires dès sa connaissance du risque par exemple selon la CNIL :
En déplaçant les données du fichier des renseignements locatifs vers un répertoire temporaire, ou en mettant une mesure de filtrage des URL (Décision CNIL § 44).
Pour la Cnil il n’y a pas « d’économie de rentabilité mesquine » dès lors que la sécurité des données personnelles peut-être en jeu.
Entendons-nous bien la CNIL est parfaitement consciente que tous les responsables de traitement ne sont pas à égalité économique dans leurs moyens et que chacun doit faire au mieux de ses possibilités notamment financières.
Par contre se dessine de cette décision du 28/05/19 que le responsable de traitement doit être toujours en anticipation du choix des techniques au meilleur de la sécurité, ce qui l’amène à devoir prouver donc documenter qu’il a réfléchi et ce en permanence, sur le choix « des mesures qui devraient assurer un niveau de sécurités appropriées », y compris la confidentialité :
« Compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger » (Citation CNIL § 44 du considérant 83 du RGPD)
3)Concernant la sanction conjointe prononcée pour le non-respect des durées de conservation :
La CNIL illustre parfaitement comment le responsable de traitement doit se situer pour bien appréhender le respect de l’article 5-1-(e)du RGPD qui repose sur le principe de l’exactitude des données qui inclue la mise en œuvre de formalisme de mise à jour.
Concernant notamment les données personnelles des candidats n’ayant pas accédé à la location le responsable de traitement conservait les données pour une durée très largement supérieure a priori au référentiel des normes recommandées par la CNIL. (Voir Norme Simplifiée NS-O21dite gestion des biens immobiliers ou à défaut de location, à défaut de renouvellement de la demande les informations doivent être supprimées dans un délai de 3 mois)
Mais ce que la CNIL va sanctionner dans sa décision par le non-respect de l’article 5-1(e) du règlement, c’est une conservation dans un même fichier indifférencié de nombreuses données qui n’étaient plus nécessaires et donc inexactes eu égard aux finalités pour lesquelles elles avaient été traitées ; et surtout sans que cette conservation soit encadrée par des garanties appropriées (décision CNIL § 47).
Ici il est judicieux de lire entre les lignes, le responsable de traitement aurait pu justifier conserver les renseignements pour une plus longue période s’il avait respecté un formalisme manquant au cas d’espèce.
Lorsque la finalité primaire est atteinte (exemple traitement pour une candidature à la location), les données doivent être supprimées, ou, faire l’objet d’un archivage en précisant la finalité de cette conservation, (obligations légales et/ou finalité pré- contentieuse ou contentieuse) et la CNIL recommande alors un archivage intermédiaire avec de nouvelles finalités dédiées et une séparation des documents archivés avec la base de données d’origine (décision CNIL § 48)
Cette décision importante du 28 mai 2019 à fait l’objet déjà d’une grande publicité sur le point focal des conséquences sur le montant de l’amende, on le rappellera 400 000 € ce qui n’est pas rien.
Nous soulignons, le montant de cette amende a été calculé par rapport à l’importance de la société, son implantation nationale, et ses moyens économiques, mais l’intérêt de la discussion sur cette décision est peut-être ailleurs pour un signal fort auprès des responsables de traitement qui :
Doivent comprendre et s’approprier qu’être responsable de traitement , au sens du RGPD n’est pas une simple posture légale ,qui se résumerait à tenir un registre de traitementet a justifier avoir réfléchi « une fois pour toute » au moment de sa rédaction sur l’organisation de la sécurité des données en se déchargeant sur les vagues assurances données par le concepteur du site Web et/ou l’hébergeur, et/ou le prestataire informatique SAAS, que le site ou la sécurité des bases de données sont aux normes du RGPD !
Le RGPD doit se vivre comme une « ascèse continue » qui repose sur la mise en place d’un système de gouvernance interne de la donnée où le responsable de traitement doit être conscient d’une « nouvelle obligation qui repose sur l’engagement ».
Un responsable de traitement est une personne qui s’engage à prendre soin de la sécurité des données de « l’autre » sans prétendre pour autant garantir qu’il n’y aura jamais de problème.
Par contre il « prend l’engagement » d’avoir le souci permanent de s’interroger sur une éthique comportementale du « faire en permanence le meilleur effort » pour assurer à la donnée sa sécurité son intégrité sa résilience incluant le bon fonctionnement des technologies qui sont mises en œuvre par le traitement.
Ainsi pour cette fameuse obligation d’Accountability notion souvent difficile à faire comprendre au responsable de traitement, cette décision du 28 mai 2019 en illustre parfaitement les contours pour poser les bases comportementales qui s’engendrent de 2 articles importants les articles 32 et 5-1(e) du RGPD
En guise de conclusions donc proposons à la réflexion du lecteur « responsable de traitement » de cet article que le respect du RGPD doit s’organiser à partir d’une équipedont les principaux leaders doivent être le responsable du traitement, son responsable informatique avec l’appui essentiel d’un DPO, aide particulièrement précieuse pour rédiger la documentation permanente incluant la mise à jour constante de tout ce qui touche de près ou de loin à la mise en œuvre du traitement ou Accountability.
Justement le DPO au titre de l’article 39-2 du RGPD tient dûment compte, dans l’accomplissement de sa mission, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et de finalités du traitement.
La juste répartition des rôles et compétences entre les uns et les autres ne fait que commencer et sera essentielle pour les responsables de traitement.
Véronique Rondeau Abouly
Avocat au barreau de Marseille
cabinet@rondeau-abouly.com
DPO-Externe
Le cabinet de Maître Rondeau Abouly à Paris et Marseille vous accompagne dans les domaines du Droit du numérique et des technologies avancées, de la Blockchain et des Cryptoactifs, incluant la démarche protection des données et de la vie privée (RGPD & ePrivacy).
Maître Rondeau Abouly met également à votre disposition un service d’horodatage de vos documents numériques sur la Blockchain.
© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales
