WEB ÉDITIONS sanctionnée par la CNIL

Accès à toutes les données personnelles contenues sur un site en modifiant simplement les derniers chiffres d’une adresse URL : WEB ÉDITIONS sanctionnée par la CNIL !

Par une décision du 16 novembre 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de la société WEB EDITIONS en raison du manquement à son obligation de sécurité prévue par la loi Informatique et Libertés. La formation restreinte de la CNIL a considéré que dans le contexte actuel dans lequel se multiplient les incidents de sécurité il y a lieu de rendre publique sa décision.

1/- Les faits et la procédure

Un éditeur de site internet spécialisé dans la sécurité  des systèmes d’information a constaté – sans raison particulière – des défauts de sécurité sur une série de 5 sites internet permettant aux particuliers d’effectuer des démarches administratives en ligne édités par la société WEB EDITIONS (www.passeport-express.org, www.formalite-acte-de-naissance.org, https://www.porter-plainte.fr, www.demande-non-gage.org et http://www.kbis.pro/obtenir).

Le 17 décembre 2016, il alerte la CNIL en lui indiquant qu’il était possible d’accéder librement à des données personnelles que les utilisateurs de ces sites ont renseignées sur les formulaires de collecte sans processus d’authentification.

Par une décision de la Présidente de la CNIL du 4 janvier 2017, plusieurs délégations se sont vues confier des missions de contrôle en ligne qu’elles ont effectuées les 11,12 et 13 janvier 2017 et dont les procès-verbaux de constats ont été adressés à WEB EDITIONS le 18 janvier 2017.

Lors de ces contrôles en ligne, la Commission a suivi le parcours utilisateur dans le cadre des démarches administratives en renseignant les formulaires présents sur les sites. À la fin de chaque démarche (à l’exception de celle poursuivie sur le site http://www.kbis.pro/obtenir), les délégations ont constaté qu’une page récapitulative contenait l’ensemble des données renseignées. Les adresses URL de ces pages récapitulatives contenaient notamment les numéros identifiants de démarche (par exemple : https://www.porter-plainte.fr/DemandeActes/add5/9756).

Les agents de contrôle de la CNIL ont constaté qu’en modifiant, sur le navigateur, l’identifiant attribué à une démarche, les données renseignées par les autres utilisateurs du site étaient accessibles.

L’absence de système d’authentification des utilisateurs permettait alors d’avoir accès à toutes les données et notamment des données concernant des tiers ou relatives aux descriptifs des faits dans le cadre de dépôts de plainte.

Le 13 janvier 2017, la CNIL a informé WEB EDITIONS par courrier électronique de l’existence de cette violation de données.

WEB EDITIONS a alors mis en œuvre des mesures correctrices via l’instauration d’un système d’authentification.

Une mission de contrôle dans les locaux de la société WEB EDITIONSS permettant notamment de vérifier ces mesures correctrice s’est déroulée le 6 février 2017.

Afin de se prémunir contre une nouvelle violation de données, WEB EDITIONS a informé la Commission avoir eu recours à un cookie identifiant de session dont elle disposait déjà puisqu’il était inclus dans l’application CAKEPHP qu’elle utilise pour la conception de ses sites.

À l’issue du contrôle, le rapporteur a fait notifier à  WEB EDITIONS son rapport détaillant les manquements à la loi qu’il estimait constitués et proposant à la formation restreinte de la Commission de prononcer une sanction pécuniaire qui ne saurait être inférieure à 200.000 euros et qui serait rendue publique.

Lors de la séance de la formation restreinte de la Commission, la proposition de sanction pécuniaire du rapporteur a été ramenée à la somme de 120.000 euros compte tenu des observations écrites et des mesures correctrices que WEB EDITIONS avait mises en place.

A cette occasion, outre l’explication des mesures techniques mises en place a posteriori, WEB EDITIONS  a soutenu que la procédure de sanction initiée par la CNIL était entachée de nullité dès lors que :

• elle n’a pas été précédée d’une mise en demeure préalable comme le prévoit le I de l’article 45 de la loi informatique et libertés ;

• la décision de la Présidente de la CNIL du 4 janvier 2017 chargeant le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de cette société n’est pas motivée et ne comporte pas la désignation nominative du secrétaire général et de la Présidente ;

• les procès-verbaux des constations en ligne ne comportent pas d’ordre du secrétaire général donnant instruction aux agents de la CNIL de procéder aux contrôles et que les copies d’écrans figurant sur les procès-verbaux de contrôle en ligne sont floues ;

• aucun élément du dossier ne permet d’établir que le procureur de la République a été préalablement informé du déroulement d’une mission de contrôle de la CNIL dans ses locaux.

Toutefois, la CNIL a écarté chacun des moyens de nullité (L’ensemble de ces motifs de nullité fera l’objet d’un prochain article qui y sera entièrement dédié).

2/- Les manquements constatés

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Lors de son contrôle, la CNIL a relevé que WEB EDITIONS n’avait prévu aucun processus d’authentification des utilisateurs de sorte que l’ensemble des données à caractère personnes des utilisateurs des services de la société était accessible via une manœuvre simple par des tiers.

WEB EDITIONS a reconnu l’existence de cet incident de sécurité mais a fait valoir que :

• elle n’a tiré aucun avantage du manquement à la loi Informatique et Libertés ;
• elle a, très rapidement, mis en place des mesures efficaces pour atténuer le dommage ; s
• seul un informaticien expérimenté était en capacité d’accéder aux données des utilisateurs des sites en modifiant un élément chiffré d’une URL ;
• l’éditeur du site à l’origine du signalement de la CNIL de cette violation de données n’était pas légitime.

La formation restreinte a relevé que le manquement à l’obligation de sécurité était caractérisé dès lors que ses services ont pu accéder, dans le cadre d’un usage normal des sites, aux données enregistrées par les utilisateurs en modifiant simplement un numéro présent à la fin des URL en raison d’une part, de l’absence de mise en place d’un dispositif permettant d’éviter la prévisibilité des URL, et d’autre part de l’absence de procédure d’identification ou d’authentification des utilisateurs.

En outre, la CNIL relève que WEB EDITIONS disposait, dès l’origine, du dispositif permettant d’assurer la sécurisation des données et qu’il ne présentait donc aucun un effort disproportionné pour sa mise en œuvre.

De plus, la rapidité des mesures correctrices mises en œuvre a posteriori démontre la simplicité avec laquelle il était possible d’empêcher la violation de données constatée par la Commission.

Enfin, la Commission a relevé que WEB EDITIONS n’a jamais pris de mesures élémentaires de sécurité puisqu’elle ne s’est jamais « assurée de l’absence de vulnérabilité de ses sites internet en amont, en vérifiant, par exemple que leur mise en production avait été précédée d’un protocole complet de test. Il apparaît en outre que la société n’a pas procédé, après le déploiement des sites internet, aux vérifications régulières qui lui incombaient quant aux mesures de sécurité mises en place ».

Dès lors, WEB EDITIONS n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées, ce qui justifie le prononcé d’une sanction pécuniaire d’un montant de 25 000 euros ainsi que la publicité de cette sanction.

Si le montant de cette sanction n’est pas exorbitant – lorsque le RGDP prévoit pour ce même manquement une sanction pouvant atteindre 10.000.000 € ou 2 % du chiffre d’affaires annuel et que dans l’attente de l’entrée en application de ce texte et que  la loi pour une république numérique a modifié le plafond des sanctions pécuniaires prévu par la loi informatique passant de 150.000 € (300.000 € en cas de récidive) à 3 millions d’euros – il représente tout de même plus de 3% du chiffres d’affaires de WEB EDITIONS.

 La CNIL a tenu compte, pour fixer ce montant, de la taille de la société (4 salariés) et de ses capacités financières (chiffre d’affaires 2016 de 759 758,77 euros).

3/- Ce qu’il faut en retenir

Cette décision est riche d’enseignements dont chaque responsable de traitement se doit d’être sensibilisé :

• Même en l’absence de plainte ou réclamation d’une personne concernée, toute personne (même celle n’y ayant aucun intérêt) est légitime à agir auprès de la CNIL pour signaler toute anormalité ; A l’heure où la conformité à la règlementation en matière de protection des données personnelles peut devenir un levier de compétitivité,  Il est à craindre que certains concurrents ou des spécialistes en matière de sécurité scrutent d’éventuelles fragilités dans le but d’initier des contrôles CNIL.
• Peu importe le niveau de connaissance technique du tiers qui a accès sans autorisation aux données pour que le manquement à l’obligation de sécurité soit caractérisé;

• Les mesures de sécurités prises par un responsable de traitement doivent faire l’objet de vérifications en amont du traitement et lors de son déploiement ; Beaucoup de responsables de traitement négligent ces vérifications, craignant certainement une lourdeur en termes de coûts et de temps qui affecteraient la mise en œuvre du traitement.