Au travers des condamnations prononcées par la Cnil et des nombreuses recommandations publiées sur son site (cnil.fr), l’autorité de régulation des données procure de nombreux enseignements sur les éléments à prendre en compte pour sécuriser son système d’information. Voici quelques leçons à tirer de ces sanctions.

En 2022, un tiers des sanctions prononcées par la Commission nationale de l’information et des libertés (Cnil) était en partie fondé sur un manquement à la sécurité des données personnelles. Que ce soit dans le cadre du règlement général sur la protection des données (RGPD) ou avant ce règlement dans celui de la loi informatique et libertés, la sécurité constitue une obligation centrale car le défaut de protections des systèmes d’information ou des sites internet représente une vraie menace pour les données. D’après le panorama des cybermenaces 2022 de l’ENISA (European Union Agency for Cybersecurity), les rançongiciels (ransomware) ont occupé la première place du podium des cybermenaces. Et comme l’a montré le dernier rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), les cybercriminels s’investissent de plus en plus dans le vol de données et le chantage à la divulgation. D’où l’attention particulière et la sévérité de la Cnil sur ce sujet afin que les acteurs de traitements veillent à assurer la sécurité et la confidentialité des données qu’ils traitent.

Au-delà de la crainte d’une sanction de la Cnil et d’une atteinte à l’image de son organisation en cas de publicité sur une fuite de donnée, l’obligation de sécurité est une incitation à protéger ses données. Si le respect de cette obligation constitue une contrainte, elle représente aussi un outil puissant de gestion de la sécurité du système d’information. En protégeant les données personnelles de manière proactive par la mise en place de mesures techniques et organisationnelles, les entreprises renforcent la confiance de leurs clients, se prémunissent contre les risques de violations de données et se positionnent comme des acteurs respectueux de la vie privée dans un paysage numérique en constante évolution. La lecture des délibérations de la Cnil mais aussi celle de son Guide de la sécurité des données personnelles éclairent parfaitement sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

L’article 32 du RGPD impose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Et le montant des sanctions pécuniaires prévu par le règlement peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Si le nombre de sanctions prononcées par la Cnil dans l’année est très faible (22 en 2022), il devrait fortement augmenter avec la mise en place d’une procédure simplifiée de sanction pour les atteintes fréquemment observées. Surtout, la publicité qui pourrait être faite suite à une fuite de données peut avoir des répercussions très dommageables en termes d’image. Et puis, il y a toujours le risque d’être assigné devant un tribunal, comme OVH qui a été condamné pour avoir manqué à ses obligations contractuelles de sécurité dans le cadre de l’incendie de son datacenter de Strasbourg qui a touché des milliers de clients ainsi que leurs données.

De nombreux aspects sont pris en compte par la Cnil dans ses décisions : absence de robustesse des mots de passe, défaut dans le stockage et la transmission des mots de passe, accès des utilisateurs, évaluation et analyse des mesures techniques, anonymisation des données, contrôle des sous-traitants…). En lien avec les défauts relevés en matière de sécurité des données, l’absence de documentation des violations de données personnelles a également donné lieu à sanction, ce qui souligne la nécessité de formaliser le signalement des incidents de sécurité et les conditions permettant de caractériser ou non l’existence de violations. La Cnil a sanctionné des entreprises qui n’ont pas sensibilisé et formé leurs employés aux bonnes pratiques de sécurité.

1,5 million d’euros d’amende

Voici quelques exemples de décisions de sanctions prononcées par la Cnil pour un manquement à l’obligation de sécurité. Selon les cas et la sensibilité des traitements, le RGPD envisage plusieurs moyens de sécurisation à mettre en œuvre ; le chiffrement des données à caractère personnel étant un des premiers exemples cités. La Cnil a prononcé plusieurs sanctions dans des affaires où les données personnelles sensibles n’étaient pas chiffrées. Par exemple, le 15 avril 2022, elle a condamné la société Dedalus Biologie, qui commercialise des logiciels pour des laboratoires d’analyse médicale, à payer une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes. Dans cette affaire, la Cnil a relevé dans sa décision que « l’absence de mise en place de mesures de sécurité protégeant le serveur en cause – notamment l’absence de chiffrement, l’absence d’effacement automatique des données après leur migration, l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur et l’utilisation de comptes utilisateurs partagés – a conduit à rendre accessibles lesdites données à des tiers, et ce malgré des alertes préalables à la violation de données à caractère personnel ayant conduit à la divulgation d’un fichier contenant les données médico-administratives de près de 500 000 personnes. »   

La Cnil prête également une attention particulière à l’absence de mesures prises pour éviter les accès non autorisés aux données pouvant résulter d’une mauvaise configuration des paramètres de sécurité, d’une gestion insuffisante des droits d’accès ou d’une absence de mesures de contrôle appropriées. Par exemple, elle a condamné Bouygues Télécom, le 26 décembre 2018, à 250 000 euros d’amende pour avoir laissé la possibilité d’accéder à des contrats et factures de client B&You par la modification d’une adresse URL. L’opérateur responsable de traitement n’a pas assuré la sécurité et la confidentialité des données en faisant le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs du site web concerné.

Le 30 novembre 2022, la Cnil a prononcé une sanction de 300 000 euros à l’encontre de la société Free. Elle lui a reproché, entre autres, le manque de robustesse des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société, et le fait qu’ils soient stockés en clair dans la base de données des abonnés de la société.

La Commission veille aussi à la manière dont les organisations gèrent les incidents de sécurité et en a sanctionné plusieurs qui n’avaient pas pris de mesures concernant duites de données. Les entreprises doivent être préparées à réagir rapidement en cas d’incident, en mettant en place des procédures de gestion des incidents, en notifiant les autorités compétentes et les personnes concernées, et en prenant des mesures correctives pour éviter de nouvelles violations. Dans une affaire qui concernait Slimpay, un établissement de paiement dont l’accès au serveur ne faisait l’objet d’aucune mesure de sécurité : les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromises. En plus de l’absence de mesures de sécurité, la Cnil a estimé que la société aurait dû informer toutes les personnes concernées de cette atteinte à leurs données. Elle a donc condamné Slimpay à 180 000 € d’amende pour non-respect de son obligation de sécurité mais aussi le manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées

Les organisations doivent bien sûr prendre au sérieux le risque légal d’un manquement à l’obligation de sécurité mais surtout le voir comme une opportunité de se préparer à un risque de cyberattaque qui aujourd’hui est loin d’être théorique. Selon le Baromètre Data Breach 2022, animé par le Forum International de la Cybersécurité (FIC) en partenariat avec Almond et Bessé, le nombre de violations de données a presque doublé en un an et demi, touchant plus de 5 millions de personnes en France. Les actes malveillants d’origine externe ont augmenté de 10,6%, tandis que les fuites d’origine interne ont progressé de 11,89%.

Vous êtes cyber-assureur et vous souhaitez connaître les actifs immatériels de votre assuré ?