#CyberRisque : 75 000 euros d’amende infligés par la CNIL pour défaut de sécurisation d’un site web

Dans une délibération du 28 juin 2018, la section restreinte de la Commission Nationale Informatique et Libertés (CNIL), a prononcé une sanction d’un montant de 75000 euros à l’encontre d’une Association dans le secteur du logement pour défaut de sécurisation des données à caractère personnel de son site Web.

Le secteur du logement est régulièrement contrôlé par la CNIL du fait des très nombreuses données nécessaires à la gestion locative. Avis d’imposition, passeports, titres de séjours, bulletins de salaires, attestations CAF, etc. permettent en effet aux associations et autres bailleurs sociaux de remplir leur mission. Ces acteurs incontournables du logement, en pleine transition digitale, proposent aujourd’hui de nombreux canaux de collecte en ligne (plateforme web, applications mobiles) et se dotent d’outils de gestion supposant une attention particulière quant à leur sécurisation.

A l’occasion d’un contrôle en ligne du site de l’Association pour le Développement des Foyers (ADEF), dont la mission est de mettre à disposition des logements dans des résidences et foyers notamment pour des étudiants, des familles monoparentales et des travailleurs migrants, les contrôleurs de la CNIL ont constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait simplement d’accéder à des données de demandeurs de logement.

Ce contrôle en ligne a donné lieu par la suite à un contrôle sur place à l’occasion duquel la CNIL a considéré que « les mesures de sécurité n’avaient pas été prises en amont du développement du site », plaçant l’ADEF en violation de l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée dite loi « informatique et libertés » qui prévoit une obligation générale de sécurité et de confidentialité portant sur les données à caractère personnel, obligation renforcée par le Règlement Général pour la Protection des Données (RGPD) entré en vigueur le 25 mai dernier[1].

Sur un plan technique, la CNIL précise qu’en l’espèce, l’AFD aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL ainsi qu’une procédure d’identification ou d’authentification des utilisateurs du site afin de protéger les documents téléversés par les demandeurs de logements.

 

Quels critères de sanction ?

Cette décision est tout d’abord intéressante à analyser dans le cadre d’une approche cyber risque au niveau des critères pris en compte par la CNIL pour évaluer le niveau de sanction. Précisons ici que ce niveau de sanction a été drastiquement augmenté par le RGPD qui donne aujourd’hui à la CNIL la possibilité de prononcer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’affaires mondial de l’entité concernée.

Dans cette affaire rendue publique, la Commission constate le défaut de sécurisation du site web et la violation de l’article 34 précité. La gravité de la sanction prononcée est ici déterminée par :

 

Comment se protéger contre le cyberrisque ?

Une gestion opérationnelle des obligations tirées de la réglementation « informatique et libertés »[2] peut être utilement envisagée dans le cadre d’une approche cyber risque orientée et dédiée à chaque Direction. Reste à identifier les besoins et mettre en place les actions appropriées.

La gestion du cyber risque doit ainsi intervenir au cœur de la transition digitale, non pas comme frein, mais bien comme moteur à celle-ci en apportant une réponse opérationnelle et adaptée aux spécificités de chaque entité.

Appliquée aux problématiques révélées par ce cas d’espèce, une gestion globale du cyber risque supposerait notamment :

 

 

 

 

 

Naturellement ces mesures sont données à titre d’exemple et ne sauraient être entendues comme exhaustives. Assurer une gestion efficace du cyber risque suppose en effet d’effectuer en amont un audit précis permettant d’identifier l’existant et les besoins propres à chaque entité.

On citera pour conclure l’un des auteurs favoris des acteurs du cyber risque : « Celui qui excelle à résoudre les difficultés le fait avant qu’elles ne surviennent ». (Sun Tzu L’Art de la guerre)

 

*******

Le Cabinet HAAS, triplement labélisé CNIL, intervient depuis plus de 20 ans aux côtés des acteurs tant privés que publics pour les accompagner dans le cadre de leur transition digitale. CIL puis DPO de nombreuses entités le Cabinet HAAS propose une gestion globale du Cyber risque portée par un pôle dédié entièrement à cette activité spécifique. Pour plus de renseignements cliquez ICI.

 

[1] Cf. https://www.avocat-rgpd.com/single-post/2018/06/19/RGPD-Decryptage-de-10-prejuges

[2] Cf. https://www.haas-avocats.com/data/gdpr-comment-sensibiliser-direction/ et https://www.haas-avocats.com/data/mise-en-conformite-rgpd-quelle-methodologie/

[3] Cf. sur ce thème https://www.haas-avocats.com/data/pourquoi-designer-dpo/

[4] Cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com