Manquement à l’obligation de sécurité des données personnelles : la CNIL n’a pas fini de sanctionner !

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNIL, selon délibération de sa formation restreinte n° SAN-2017-010 du 18 juillet 2017, a eu l’occasion de prononcer à l’encontre de la société HERTZ France une sanction pécuniaire de 40 000 € après avoir constaté qu’elle avait failli à l’obligation de protection des données à caractère personnel susvisée.

Dans cette affaire, la société HERTZ France, laquelle avait créé un site internet www.cartereduction-hertz.com en 2011 afin de proposer des réductions sur les locations de véhicules, a été avisée par la CNIL de l’existence d’une violation des données à caractère personnel sur ledit site, en octobre 2016 (quelques jours après l’entrée en vigueur de la Loi Axelle Lemaire n° 2016-1321 du 7 octobre 2016, laquelle a multiplié par vingt le montant de l’amende en cas de manquement par le responsable de traitement à ses obligations passant ainsi de 150 000 € à 3 000 000 €, et supprimé l’exigence de mise en demeure préalable).

A l’occasion de la première vérification en ligne, la CNIL a constaté que l’insuffisance des mesures de sécurité et de confidentialité des données des adhérents au programme de réduction étaient telles que la simple modification dans l’URL de la variable correspondant à l’identifiant d’un utilisateur avait permis d’accéder aux données personnelles de 35 327 personnes (nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique, et numéro de permis de conduire).

L’instruction a mis à jour que le sous-traitant de la société HERTZ France, à qui le développement dudit site avait été confié, avait supprimé par erreur une ligne de code lors du remplacement d’un des serveurs en juin 2016.
Il incombait alors à la CNIL de déterminer si la société HERTZ France avait manqué à son obligation de mettre en œuvre les moyens propres à assurer la sécurité des données à caractère personnel qu’elle est amenée à traiter (art. 34 Loi Inf. et Lib).

Alors même qu’il était parfaitement établi que l’erreur était imputable au sous-traitant, lequel avait effacé involontairement une ligne de code, la CNIL a considéré que la société HERTZ France avait failli à son obligation de sécurité, et l’a condamnée au règlement d’une amende administrative de 40 000 €.

Pour ce faire, elle a retenu à l’encontre de la société HERTZ France « une négligence[…] dans la surveillance des actions de son sous-traitant », aux motifs qu’elle n’avait pas remis en son temps de cahier des charges au prestataire s’agissant du développement du site, et qu’elle n’avait pas mis en œuvre une procédure de test complet à l’issue des opérations de changement de serveur, qui requéraient une attention particulière, comme étant liées au service de paiement en ligne.

La CNIL a déduit de ces abstentions que la société HERTZ France n’avait pas pris toutes les précautions utiles permettant d’empêcher l’accès aux données par des tiers non autorisés.

Cependant, la CNIL a retenu que la société HERTZ France avait fait preuve d’une grande réactivité dès qu’elle avait eu connaissance de l’incident de sécurité, de telle sorte que la violation des données avait cessé à très bref délai ; et qu’elle avait immédiatement pris l’initiative de faire réaliser un audit de sécurité du sous-traitant.

Il n’a également pas échappé à la CNIL que la violation était due à une erreur humaine, malheureusement irrésistible et imprévisible, et que l’atteinte à la vie privée des personnes concernées avait été relativement limitée puisqu’aucune extraction massive de données n’avait été déplorée.

Cette décision mérite qu’on s’y intéresse à plusieurs égards, et à la lumière du Règlement Général sur la Protection des Données dont l’application est imminente.

Tout d’abord, elle a été l’occasion pour la CNIL d’appliquer la Loi Informatique et Libertés modifiée par la Loi Axelle Lemaire, et de prononcer sans mise en demeure préalable une sanction pécuniaire à l’encontre du responsable de traitement ayant failli à ses obligations, et ce, dès son entrée en vigueur.

L’on retiendra donc le caractère prompt de la CNIL à faire une application rigoureuse de la loi nouvelle plus sévère.

Il y a donc tout lieu de s’inquiéter des décisions à venir avec l’entrée en application du RGPD le 25 mai 2018, portant les sanctions pécuniaires de 2% du chiffre d’affaires annuel mondial, ou 10 millions d’euros en cas de manquement à l’obligation de sécurité du traitement (art. 83-4 et 32 du RGPD).

Ensuite, la CNIL rappelle, à la faveur de cette décision, le principe selon lequel les obligations découlant de la Loi Informatique et Libertés actuellement en vigueur pèsent sur le seul responsable de traitement.

Mais le répit pour le sous-traitant, dans de telles hypothèses où la violation des données lui est en réalité imputable, ne sera que de courte durée.

En effet, le RGPD instaure un régime de responsabilité directe du sous-traitant qui a manqué aux obligations lui incombant dans le cadre de traitement de données personnelles, et même de responsabilité solidaire avec le responsable de traitement dans certaines hypothèses.

Enfin, il ressort de cette délibération que la CNIL tient compte, dans l’évaluation de la sanction, de nombreux éléments tels que :

• la nature, la gravité et la durée de la violation, ainsi que le nombre de personnes concernées ;
• le fait que la violation a été commise involontairement ;
• l’ensemble des mesures prises par le responsable de traitement dès qu’il a été avisé de l’incident ;
• le degré de coopération du responsable de traitement avec l’autorité de contrôle.

Autant d’éléments expressément visés dans l’article 83 du RGPD.

Nul doute que si l’autorité de contrôle est susceptible de prononcer des amendes administratives allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (art. 83-5 RGPD), elle veillera à ce que les sanctions prononcées, si dissuasives soient-elles, restent proportionnées.