Sanctions de la CNIL en cas de violation de données personnelles
La sécurité informatique est un impératif prégnant au sein de l’entreprise. La CNIL peut intervenir pour sanctionner les manquements, le cas échéant.
Dans une première décision (délibération n°SAN-2017-010 du 18 juillet 2017), une société de location de véhicules avait développé un site Internet promotionnel permettant d’obtenir des réductions sur son service. Une mission de vérification de la CNIL avait permis de découvrir qu’en ajoutant une certaine chaîne de caractères à l’adresse URL dudit site, les pages affichées laissaient apparaître les données personnelles de 35 327 personnes ayant adhéré au programme de réduction, notamment leurs nom et prénom, date de naissance, adresse postale, adresse email et numéro de permis de conduire.
Après avoir été informée par la CNIL de la violation de données personnelles, la société avait immédiatement pris les dispositions nécessaires auprès de son sous-traitant développeur du site Internet afin de la corriger. Elle avait aussi diligenté un audit de sécurité. Selon le sous-traitant, aucun téléchargement massif de données n’avait été réalisé.
Malgré cela, la CNIL relève que la société n’avait pas mis en œuvre tous les moyens afin de préserver la sécurité des données et notamment d’empêcher que celles-ci ne soient déformées ou endommagées ou que des tiers non autorisés y aient accès, conformément à l’article 34 de la loi n°78-17 du 6 janvier 1978, dite loi informatique et libertés. Compte tenu du fait que l’origine de la violation concernait les serveurs permettant de communiquer avec le prestataire de paiement du loueur, ce qui aurait dû nécessiter une attention particulière, et que ce dernier n’avait imposé aucun cahier des charges à son sous-traitant, la CNIL prononce une sanction de 40 000 euros assortie de la publication de la décision.
Une autre décision de la CNIL (délibération n°SAN-2017-011 du 20 juillet 2017) mettait en cause une plate-forme de location de voitures qui avait été dénoncée par l’éditeur d’un site Internet spécialisé dans la sécurité informatique. En saisissant certains caractères en complément de l’adresse URL de la plate-forme, une délégation de contrôle de la CNIL avait pu accéder aux données personnelles de plus de 50 000 personnes concernant notamment le véhicule loué, son propriétaire, la localisation du véhicule ou encore les commentaires laissés par des utilisateurs.
Immédiatement après en avoir été informée par la CNIL, la plate-forme avait entamé les actions correctives permettant de résorber la violation des données en supprimant ou modifiant les API (applications programming interface) concernées. Malgré cela, la CNIL considère, au visa de l’article 34 de la loi informatique et libertés, que la plate-forme n’avait pas pris en amont les mesures élémentaires de sécurité qui s’imposaient et prononce un avertissement public.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Thomas Livenais, avocat en droit de la propriété intellectuelle