Cabinet Cloix & Mendès-Gil, cabinet d'avocats à Paris
LETTRE D'ACTUALITÉ / Septembre 2019
Droit de l’informatique et des nouvelles technologies – Droit des contrats
PROTECTION DES DONNÉES PERSONNELLES
Prononciation d’une amende de 180.000 euros à l’encontre d’un éditeur de site Internet pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Suite à un signalement de la part d’un utilisateur d’un site faisant état de la possibilité d’accéder à des données de clients sans mesure d’authentification préalable, la CNIL a procédé, en juillet 2018, à un contrôle en ligne.

Cette dernière a ainsi pu constater qu’il était possible de consulter les comptes des clients de la société d’assurance éditrice du site en effectuant une requête sur un moteur de recherche. La CNIL a ainsi pu accéder à diverses données personnelles des clients (noms, prénoms, adresses, numéros de téléphone, mais aussi, pièce d’identité, devis et contrat d’assurance, coordonnées bancaires). Il était également possible de consulter les comptes d’autres clients en modifiant l’URL de la page.

La CNIL a alors informé la société de cette faille et lui a enjoint de prendre des mesures correctives nécessaires pour y remédier. La société a alors pris certaines mesures avant de faire l’objet d’un contrôle sur place.

Lors de ce contrôle, la CNIL a pu constater que, malgré les mesures prises, certaines pages étaient toujours accessibles en consultant les pages en cache référencées par les moteurs de recherches. La CNIL a également relevé que le format des mots de passe (date d’anniversaire du client) pour accéder à ses comptes étaient imposés par la société et qu’ils étaient transmis « en clair » au client par courriel.

La CNIL rappelle, tout d’abord, que le prononcé d’une sanction pour manquement aux obligations en matière de données personnelles n’est pas subordonné à une mise en demeure préalable et rappelle que le Président de la CNIL dispose de l’opportunité des poursuites. Il peut donc nommer un rapporteur et saisir directement la formation restreinte sans mise en demeure préalable.

En premier lieu, la CNIL constate la faille de sécurité permettant d’accéder aux comptes des clients au moyen d’un moteur de recherche et la possibilité de modifier les URL pour consulter les comptes d’autres clients.

La CNIL rappelle alors que les éditeurs de site doivent prendre des mesures pour s’assurer que l’émetteur d’une requête effectuée au moyen d’un moteur de cherche est bien autorisé à accéder aux informations. Il convient donc de mettre en œuvre des mesures d’authentification adaptées ainsi qu’une gestion des droits d’accès. Par ailleurs, l’utilisation d’un fichier robot.txt est mentionnée afin de restreindre l’indexation des pages contenant des données personnelles sur les moteurs de recherche.

Après avoir constaté que le site était défectueux dès sa conception et qu’un grand nombre de données (comportant des informations précises sur les clients) étaient accessibles, la CNIL conclut à l’existence d’un manquement à l’article 32 du RGPD relatif à la sécurité des données.

En second lieu, la CNIL relève la faiblesse des mots de passe dont le format était imposé par la société (date d’anniversaire du client) et rappelle ses préconisations (nombre de caractère, temporisation d’accès au compte après plusieurs échecs mesures permettant de se prémunir contre les soumissions automatisées et intensives, blocage du compte après plusieurs tentatives d’authentification infructueuses). La CNIL conclut, là encore, à l’existence d’un manquement aux obligations issues de l’article 32 du RGPD.

Concernant la sanction, la CNIL qualifie les manquements de graves et inflige à la société éditrice du site une amende de 180 000 euros. Elle tient néanmoins compte de la réactivité et de la coopération de la société ainsi l’absence de dommages causés par la faille pour atténuer cette sanction.

Délibération CNIL n°2019-007 du18 juillet 2019, Société Actives Assurances




SECRET DES AFFAIRES
36 associations et médias saisissent la justice pour protéger la liberté de la presse, le droit à l’information et le droit d’alerte

Le 27 juin 2019, trente-six associations et médias ont décidé d’intervenir aux côtés du Journal Le Monde devant le Tribunal administratif pour demander à la justice qu’elle protège la liberté de la presse, le droit à l’information et le droit d’alerte, notamment lorsque l’intérêt à défendre est la santé des personnes.

La transposition en droit français de la directive européenne protégeant le secret des affaires, en juillet 2018, avait provoqué de vifs débats dans la société civile. Les défendeurs de la loi dite « secret des affaires » avaient assuré qu’elle ne porterait pas atteinte à la liberté de la presse et au droit à l’information.

Et pourtant, ce recours intervient dans le cadre de l’enquête « Implant Files », dans laquelle Le Monde a révélé que des dispositifs médicaux (défibrillateurs, pompes à insuline, prothèses de hanche) ont fait des centaines de morts. Les journalistes se sont vus refuser par la Commission d’accès aux documents administratifs (CADA) l’accès à la liste des dispositifs ayant reçu un certificat de conformité au nom du secret des affaires.

Saisie, la CADA a estimé que les secrets pèsent plus lourd que le droit à la santé, l’information et la protection des citoyens. Il convient de relever que l’article L.151-8 du Code de commerce prévoit pourtant, que le secret des affaires ne peut pas être opposé « pour exercer le droit à la liberté d'expression et de communication, y compris le respect de la liberté de la presse, et à la liberté d'information (...) pour révéler, dans le but de protéger l'intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible, y compris lors de l'exercice du droit d'alerte ».

Le Monde et les 36 associations et médias ont donc décidé de contester ce refus.

Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires

Avis CADA du 26 novembre 2018




NOUVELLE RÉGLEMENTATION
Entrée en vigueur de l’authentification forte pour les paiements électroniques prévue par la directive dite PSD2 du 25 novembre 2015

La directive sur les services de paiement (UE) 2015/2366 révisée, appelée DSP2, du 25 novembre 2015, est entrée en vigueur le 13 janvier 2018. Toutefois, il a été prévu que certaines dispositions n’entreraient en vigueur que postérieurement. C’est notamment le cas de l’authentification forte pour les paiements électroniques.

A partir du 15 septembre 2019, les États membres devront « veiller à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

  • Accède à son compte de paiement en ligne ;
  • Initie une opération de paiement électronique ;
  • Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. »

L’authentification forte est définie par DSP2 comme une « authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

Un mot de passe ou un code PIN, relèvent de ce que « sais ». Un code envoyé par SMS sur mon mobile au moment de la transaction, relèvent de ce que « j’ai ». Une empreinte digitale, la reconnaissance faciale relèvent de ce que je « suis ».

L’authentification forte consiste à sécuriser le paiement par la combinaison d’au moins deux éléments précités. Par exemple un mot de passe et un code unique reçu par SM, comme le fait le système 3D-Secure proposé par les banques.

Le choix des deux éléments est laissé au libre choix des commerçants et des banques, à condition qu’ils soient « indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

Toutefois, la directive DSP2 a prévu que l’authentification forte n’était pas obligatoire dans les cas suivants :

  • Les paiements initiés d’un montant inférieur à 30 €, augmenté à 50 € pour les paiements sans contact ;
  • Les paiements composés de moins de six transactions successives ou dont le montant cumulé ne dépasse pas 100 € pour un paiement classique ou 150 € pour un paiement sans contact ;
  • Les paiements vers un bénéficiaire inscrit sur une liste de « bénéficiaire de confiance » ;
  • Les transactions considérées comme étant à faible risque : les établissements bancaires peuvent déterminer leur « taux de fraude » à la suite d’une analyse des risques. Ce taux est obtenu en examinant toutes les transactions traitées par les établissements parties à la transaction. Un nombre moindre de transactions frauduleuses permettra à l’établissement bancaire d’obtenir un taux faible. Toutefois, le seuil fixé par la directive DSP2 autorisant le prestataire de service de paiement de ne pas utiliser l’authentification forte est volontairement très bas.
  • Les paiements initiés à partir d’un automate de paiement afin de régler des frais de transport (péage) ou de parking.

Concrètement, chaque commerçant (de vente à distance) devra contacter sa banque pour identifier les procédures qui peuvent convenir à sa situation afin de respecter les obligations en vigueur de DSP2. Le risque est réel puisqu’en cas de non-respect la banque coupera le flux de transaction.

Par ailleurs, l’absence d’authentification forte de l’acheteur a des conséquences en cas de transactions non autorisées par le payeur, celui-ci ne devant alors pas supporter de perte financière. Par principe, en cas de fraude au moyen de paiement, l’établissement bancaire du payeur est seul chargé de lui rembourser les sommes indûment débitées de son compte. Toutefois, en l’absence d’authentification forte utilisée par le commerçant, il résulte des dispositions de l’article 74 de la directive, transposées à l’article L133-19 du Code monétaire et financier, qu’il revient au commerçant ou à son prestataire de services de paiement de rembourser les sommes débitées à l’établissement bancaire.

La directive 2015/2366 du 25 novembre 2015, transposée par l’ordonnance n° 2017-1252 du 9 août 2017 et la loi n° 2018-700 du 3 août 2018 modifiant les dispositions du Code monétaire et financier




RELATIONS COMMERCIALES
Un fournisseur doit vérifier le processus de contractualisation inhabituel d’une commande d’un client avec lequel il entretient des relations commerciales établies depuis plusieurs années

Dans un arrêt du 28 mars 2019, la Cour d’appel d’Aix-en-Provence a condamné un fournisseur pour son manque de diligence et de prudence, au regard du processus de commande inhabituel et d’une relation commerciale installée depuis plusieurs années.

En l’espèce, un fournisseur d’équipement industriel avait été contacté par courrier électronique par une société cliente, en vue de passer une commande. A la suite d’un devis transmis par courrier électronique, le gérant a confirmé l’accord de sa société pour la commande du matériel en apposant la mention « bon pour accord » accompagné du tampon de la société et d’une signature sur le devis. Ce courrier précisait que l’adresse de livraison serait différente de l’adresse de facturation. A la suite de l’édition de la facture, le gérant de la société cliente a affirmé qu’aucune commande n’avait été passée pour le matériel facturé et qu’il s’agissait d’une escroquerie.

La Cour rappelle que la signature figurant sur l’acte litigieux (le courrier électronique) ne bénéficie pas d’une présomption de fiabilité eu égard aux dispositions des articles 1316-1 et 1316-4 du Code civil dans leur rédaction alors en vigueur et relatives à la validité de l’écrit ou de la signature électroniques.

La Cour condamne ainsi le fournisseur pour son manque de diligence et de prudence au regard d’une relation commerciale établie depuis plusieurs années avec le client. En effet, la passation de la commande et la signature du devis se déroulaient toujours en présence du dirigeant de la société cliente et du fournisseur ; dans la commande litigieuse, les matériels commandés ainsi que l’adresse de livraison différaient. La Cour considère que la négligence du fournisseur est à l’origine directe du préjudice résultant de l’escroquerie.

CA Aix-en-Provence, 28 mars 2019 n°17/14221




Maîtres Sylvain JOYEUX, Pierre FUMERY
Et Marion-Esperanza VARGAS-MORISSE

Cabinet Cloix & Mendès-Gil, cabinet d'avocats à Paris
Depuis sa création en 2001, le Cabinet s’est développé et renforcé
afin d’offrir à ses clients des compétences étendues dans l’ensemble
des aspects de la vie économique et sociale, tant auprès des
opérateurs privés que publics. N’hésitez pas à consulter
les autres lettres d’actualité du Cabinet.

Lettre d’actualité du Cabinet en droit bancaire
Lettre d’actualité du Cabinet en droit immobilier
Lettre d’actualité du Cabinet en droit public

www.cloix-mendesgil.com
Paris
7 rue auber - 75 009 Paris
Tél. (33) 01.48.78.92.42 - Fax. (33) 01.48.78.92.40
Saint-Denis de La Réunion
3 rue de la Cité Jasmin - 97 400 Saint-Denis de La Réunion
Tél. (33) 02.62.73.00.15 - Fax. (33) 02.62.73.00.25