PROTECTION DES DONNÉES PERSONNELLES

05/09/2019 / Droit de l’informatique et des nouvelles technologies – Droit des contrats

Prononciation d’une amende de 180.000 euros à l’encontre d’un éditeur de site Internet pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Suite à un signalement de la part d’un utilisateur d’un site faisant état de la possibilité d’accéder à des données de clients sans mesure d’authentification préalable, la CNIL a procédé, en juillet 2018, à un contrôle en ligne.

Cette dernière a ainsi pu constater qu’il était possible de consulter les comptes des clients de la société d’assurance éditrice du site en effectuant une requête sur un moteur de recherche. La CNIL a ainsi pu accéder à diverses données personnelles des clients (noms, prénoms, adresses, numéros de téléphone, mais aussi, pièce d’identité, devis et contrat d’assurance, coordonnées bancaires). Il était également possible de consulter les comptes d’autres clients en modifiant l’URL de la page.

La CNIL a alors informé la société de cette faille et lui a enjoint de prendre des mesures correctives nécessaires pour y remédier. La société a alors pris certaines mesures avant de faire l’objet d’un contrôle sur place.

Lors de ce contrôle, la CNIL a pu constater que, malgré les mesures prises, certaines pages étaient toujours accessibles en consultant les pages en cache référencées par les moteurs de recherches. La CNIL a également relevé que le format des mots de passe (date d’anniversaire du client) pour accéder à ses comptes étaient imposés par la société et qu’ils étaient transmis « en clair » au client par courriel.

La CNIL rappelle, tout d’abord, que le prononcé d’une sanction pour manquement aux obligations en matière de données personnelles n’est pas subordonné à une mise en demeure préalable et rappelle que le Président de la CNIL dispose de l’opportunité des poursuites. Il peut donc nommer un rapporteur et saisir directement la formation restreinte sans mise en demeure préalable.

En premier lieu, la CNIL constate la faille de sécurité permettant d’accéder aux comptes des clients au moyen d’un moteur de recherche et la possibilité de modifier les URL pour consulter les comptes d’autres clients.

La CNIL rappelle alors que les éditeurs de site doivent prendre des mesures pour s’assurer que l’émetteur d’une requête effectuée au moyen d’un moteur de cherche est bien autorisé à accéder aux informations. Il convient donc de mettre en œuvre des mesures d’authentification adaptées ainsi qu’une gestion des droits d’accès. Par ailleurs, l’utilisation d’un fichier robot.txt est mentionnée afin de restreindre l’indexation des pages contenant des données personnelles sur les moteurs de recherche.

Après avoir constaté que le site était défectueux dès sa conception et qu’un grand nombre de données (comportant des informations précises sur les clients) étaient accessibles, la CNIL conclut à l’existence d’un manquement à l’article 32 du RGPD relatif à la sécurité des données.

En second lieu, la CNIL relève la faiblesse des mots de passe dont le format était imposé par la société (date d’anniversaire du client) et rappelle ses préconisations (nombre de caractère, temporisation d’accès au compte après plusieurs échecs mesures permettant de se prémunir contre les soumissions automatisées et intensives, blocage du compte après plusieurs tentatives d’authentification infructueuses). La CNIL conclut, là encore, à l’existence d’un manquement aux obligations issues de l’article 32 du RGPD.

Concernant la sanction, la CNIL qualifie les manquements de graves et inflige à la société éditrice du site une amende de 180 000 euros. Elle tient néanmoins compte de la réactivité et de la coopération de la société ainsi l’absence de dommages causés par la faille pour atténuer cette sanction.

Délibération CNIL n°2019-007 du18 juillet 2019, Société Actives Assurances