Le 18 juillet 2019, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») prononçait, dans le cadre de sa mission de protecteur des données personnelles, une amende administrative de 180 000 euros à l’encontre d’un intermédiaire en assurance et ordonnait la publication de la délibération prononçant cette sanction.
La cause ?
Le défaut de sécurité d’accès à des données personnelles des clients de la société mise en cause, via son site web, concernant – entre autres – près de 148 000 numéros de téléphone, 144 000 adresses électroniques, 145 000 copies de carte grise, 138 000 copies de permis de conduire, 120 000 relevés d’identité bancaire. Et un nombre autrement plus important d’informations sur la personne concernée telles que ses nom, prénom, adresse postale, adresse électronique, date et lieu de naissance, coordonnées bancaires, …
Concrètement ?
La CNIL est informée, le 1er juin 2018, que des données personnelles de clients de la Société mise en cause, sont librement accessibles sur Internet.
Une mission de contrôle réalisée en ligne par une délégation de la CNIL relève un défaut de sécurité du site web de la Société éditrice, responsable du traitement des données personnelles en cause, et la violation de données en résultant.
Nonobstant des mesures prises rapidement par la Société concernée, tendant à pallier le défaut de sécurité relevé par la Commission de contrôle (ex. : chiffrage des adresses URL permettant de visualiser les documents stockés),
Une nouvelle mission de contrôle a constaté la persistance d’un défaut de sécurité, matérialisé par un accès toujours possible par des tiers à des pages contenant les données personnelles de certains clients de la Société contrôlée.
C’est dans ce contexte que la formation restreinte de la CNIL a sanctionné la Société en cause, après avoir considéré que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel telle que prévue par le RGPD et la loi Informatique et Liberté.
Sa délibération est l’occasion de remettre en lumière certaines mesures de sécurité que la CNIL considère comme étant élémentaires à la sécurisation des données, à prendre en amont de développement de tout site.
De première part,
Lorsqu’une requête visant à accéder à une ressource est adressée à un serveur, celui-ci doit préalablement vérifier que son émetteur est autorisé à accéder aux informations demandées. Cette vérification peut être mise en œuvre par une mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter.
Or, en l’espèce, des tiers ont pu librement consulter les documents des clients enregistrés par la société, sans qu’aucune mesure de restriction n’y fasse obstacle.
De deuxième part,
Doivent être mises en place des mesures permettant de limiter une indexation par les moteurs de recherche, au moyen, par exemple, d’un fichier robots.txt.
Or, en l’espèce, le défaut de sécurité a été amplifié par le fait que les documents des personnes, librement accessibles depuis le site web de la société, ont été indexés par les moteurs de recherche Duckduckgo, Bing, Qwant et Yahoo.
De troisième part,
La Société responsable du traitement doit s’assurer que les mots de passe de connexion de ses clients à leur espace personnel soient robustes.
Or, en l’espèce, les mots de passe étaient simplement composés de leur date de naissance. Le format des mots de passe ayant étant imposé par la société, il était alors impossible à ses utilisateurs de les changer et ainsi de se prémunir de toute connexion indésirable.
De quatrième part,
Le mot de passe choisi par l’utilisateur ne doit pas lui être envoyé en clair par email avec l’identifiant de connexion.
Or, en l’espèce, après la création de leur compte, les utilisateurs recevaient un email contenant leur identifiant et leur mot de passe mentionnés en clair dans le corps du message.
Ces rappels ne couvrent qu’un infime aspect des mesures élémentaires à respecter pour assurer la protection de données personnelles sur le web.
Si la CNIL laisse aux responsables de traitement de données personnelles le temps de procéder aux adaptations nécessaires afin d’assurer la sécurité des données personnelles traitées, elle agit en revanche avec force et sévérité si les responsables de traitement ne rectifient pas suffisamment les failles de sécurité détectées. Et elle ne manque pas de rappeler que la sécurité des données doit être au cœur des préoccupations des responsables de traitement, en amont.
Un audit effectué par des professionnels vous permettra de vous assurer de la conformité du système de traitement des données personnelles, ou à défaut de relever les failles à combler pour être en conformité avec la réglementation applicable en matière de données personnelles.
