Dans une délibération du 28 juin 2018, la section restreinte de la Commission Nationale Informatique et Libertés (CNIL), a prononcé une sanction d’un montant de 75000 euros à l’encontre d’une Association dans le secteur du logement pour défaut de sécurisation des données à caractère personnel de son site Web.
Le secteur du logement est régulièrement contrôlé par la CNIL du fait des très nombreuses données nécessaires à la gestion locative. Avis d’imposition, passeports, titres de séjours, bulletins de salaires, attestations CAF, etc. permettent en effet aux associations et autres bailleurs sociaux de remplir leur mission. Ces acteurs incontournables du logement, en pleine transition digitale, proposent aujourd’hui de nombreux canaux de collecte en ligne (plateforme web, applications mobiles) et se dotent d’outils de gestion supposant une attention particulière quant à leur sécurisation.
A l’occasion d’un contrôle en ligne du site de l’Association pour le Développement des Foyers (ADEF), dont la mission est de mettre à disposition des logements dans des résidences et foyers notamment pour des étudiants, des familles monoparentales et des travailleurs migrants, les contrôleurs de la CNIL ont constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait simplement d’accéder à des données de demandeurs de logement.
Ce contrôle en ligne a donné lieu par la suite à un contrôle sur place à l’occasion duquel la CNIL a considéré que « les mesures de sécurité n’avaient pas été prises en amont du développement du site », plaçant l’ADEF en violation de l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée dite loi « informatique et libertés » qui prévoit une obligation générale de sécurité et de confidentialité portant sur les données à caractère personnel, obligation renforcée par le Règlement Général pour la Protection des Données (RGPD) entré en vigueur le 25 mai dernier[1].
Sur un plan technique, la CNIL précise qu’en l’espèce, l’AFD aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL ainsi qu’une procédure d’identification ou d’authentification des utilisateurs du site afin de protéger les documents téléversés par les demandeurs de logements.
Quels critères de sanction ?
Cette décision est tout d’abord intéressante à analyser dans le cadre d’une approche cyber risque au niveau des critères pris en compte par la CNIL pour évaluer le niveau de sanction. Précisons ici que ce niveau de sanction a été drastiquement augmenté par le RGPD qui donne aujourd’hui à la CNIL la possibilité de prononcer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’affaires mondial de l’entité concernée.
Dans cette affaire rendue publique, la Commission constate le défaut de sécurisation du site web et la violation de l’article 34 précité. La gravité de la sanction prononcée est ici déterminée par :
- La diversité des données accessibles du fait de la faille
- La criticité des données accessibles du fait de la faille au regard de la vie privée (NIR, IBAN, salaires, allocation aux adultes handicapés etc.)
- Le volume de données rendues accessibles du fait de la faille (en l’espèce 42 652).
Comment se protéger contre le cyberrisque ?
Une gestion opérationnelle des obligations tirées de la réglementation « informatique et libertés »[2] peut être utilement envisagée dans le cadre d’une approche cyber risque orientée et dédiée à chaque Direction. Reste à identifier les besoins et mettre en place les actions appropriées.
La gestion du cyber risque doit ainsi intervenir au cœur de la transition digitale, non pas comme frein, mais bien comme moteur à celle-ci en apportant une réponse opérationnelle et adaptée aux spécificités de chaque entité.
Appliquée aux problématiques révélées par ce cas d’espèce, une gestion globale du cyber risque supposerait notamment :
- Au niveau de la Direction : la désignation d’un Délégué à la Protection des Données (DPO)[3] indépendant afin de piloter la mise en place et le maintien des dispositifs de protection de la vie privée au sein de l’entité. Le DPO devra notamment tenir le registre d’activité des traitements qui intégrera les traitements réalisés à travers le site web et les mesures de protection associées.
- Au niveau des Directions Métiers : la consultation du DPO dès la phase de conception du site web ou de tout dispositif traitant des données à caractère personnel afin de procéder à un contrôle de conformité. Ce contrôle pourra donner lieu à une analyse d’impact lorsque les traitements en cause intègrent des données sensibles à risque. Seront également arbitrées les questions liées à la durée de conservation (limitation du volume de données) et au respect du principe de minimisation (limitation du volume et de la diversité des données qui doivent être strictement nécessaires à l’objet du traitement)
- Au niveau de la DSI : diligenter en concertation avec le DPO des tests d’intrusion sur le site web avant son ouverture au public, formaliser une politique d’habilitation incluant une politique d’attribution et de gestion des mots de passe en concertation avec la Direction des Ressources Humaines, mettre en place une Politique de Gestion des Incidents liés aux systèmes d’information à jour du RGPD (par ex. prévoyant la procédure de notification à la CNIL et aux personnes concernées), renforcer d’une manière générale le « Référentiel Sécurité »[4] regroupant les différentes procédures et règles internes dédiées à la sécurité des systèmes (Charte Utilisateurs, Charte Admin, Plan de Continuité d’activité, etc.), mise en place de dispositifs de chiffrements etc.
- Au niveau de la Direction Juridique : procéder, en concertation avec le DPO, à un contrôle des différents contrats associés au développement, à la maintenance et à l’hébergement du site web afin de vérifier que les prestataires présentent des garanties suffisantes en termes de sécurité et de confidentialité. Le cas échéant, procéder à la régularisation d’accords spécifiques par voie d’avenants dédiés à la protection des données et aux garanties associées.
- Au niveau de la Direction des Ressources Humaines : organiser des sessions de sensibilisation en concertation avec les autres directions sur la question de la protection des données et du risque informatique. Il s’agira également de renforcer le règlement intérieur en intégrant une Charte « Utilisateurs des Systèmes d’information » à jour du RGPD ou le déploiement d’outils pédagogiques (MOOC, livre blancs, codes de bonnes conduites etc.)
- Au niveau de la Direction Marketing/communication : mettre en avant un manifeste sur la protection des données, publier sur le site Web une politique de confidentialité et une Charte cookies conformes aux dernières dispositions légales en concertation avec la Direction Juridique et le DPO, assurer la communication de crise en cas de faille de sécurité sont autant de mesures pouvant être portées par cette direction.
Naturellement ces mesures sont données à titre d’exemple et ne sauraient être entendues comme exhaustives. Assurer une gestion efficace du cyber risque suppose en effet d’effectuer en amont un audit précis permettant d’identifier l’existant et les besoins propres à chaque entité.
On citera pour conclure l’un des auteurs favoris des acteurs du cyber risque : « Celui qui excelle à résoudre les difficultés le fait avant qu’elles ne surviennent ». (Sun Tzu L’Art de la guerre)
*******
Le Cabinet HAAS, triplement labélisé CNIL, intervient depuis plus de 20 ans aux côtés des acteurs tant privés que publics pour les accompagner dans le cadre de leur transition digitale. CIL puis DPO de nombreuses entités le Cabinet HAAS propose une gestion globale du Cyber risque portée par un pôle dédié entièrement à cette activité spécifique. Pour plus de renseignements cliquez ICI.
[1] Cf. https://www.avocat-rgpd.com/single-post/2018/06/19/RGPD-Decryptage-de-10-prejuges
[2] Cf. https://www.haas-avocats.com/data/gdpr-comment-sensibiliser-direction/ et https://www.haas-avocats.com/data/mise-en-conformite-rgpd-quelle-methodologie/
[3] Cf. sur ce thème https://www.haas-avocats.com/data/pourquoi-designer-dpo/
[4] Cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
