Dans sa dernière décision, en date du 8 janvier 20181, la CNIL adopte la formule suivante [compte-tenu du] “contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes de quant au risque pesant sur la sécurité de leurs données”.
Le ton est ainsi donné, et fait immédiatement écho à la mise en application prochaine du Règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données - dit RGPD.
L’affaire précitée est la suivante : une société, suite à la constatation d’une fuite de données personnelles - effectuée par une société tierce - a fait l’objet d’une série de contrôles effectués par la CNIL. Ces contrôles, établis en ligne et sur place, au sein de la société, ont mis en exergue une faille de sécurité du système d’information, ayant pour conséquence l’accès à de multiples données personnelles, toutes collectées à l’occasion d’une prestation de service après-vente. Cette fuite de données personnelles ayant pour source une simple adresse URL, quoique non exploitée par la société, mais créée par un prestataire, à qui la société avait confié la réalisation d’un logiciel de gestion de demande de service après-vente.
La CNIL, a l’issue de cette série de contrôle, a rédigé un rapport mettant en avant la responsabilité de la société au regard du droit positif, et préconisé une amende de 200 000 euros.
Cette décision s’appuie donc sur un droit ne prenant pas en compte l’application - prochaine - du RGPD. Toutefois, il n’est pas avare d’enseignements sur la position que va adopter l’autorité de contrôle en matière de données personnelles d’ici quelques mois.
En effet, la décision de la CNIL fait état d’une pédagogie certaine et met en avant plusieurs points qui se trouvent au cœur du RGPD.
Le premier point étudié a été la détermination du responsable de traitement, notion indispensable à toute application du droit des données personnelles. Le droit positif, repris dans le RGPD, définit déjà le responsable de traitement comme la personne mettant en œuvre les moyens et les finalités du traitement de données personnelles.
La société se défendait en mettant en avant que la mise en place du logiciel gérant les données personnelles de ses clients avait été confiée à un prestataire, et que, logiquement, sa responsabilité ne saurait être engagée du fait qu’il appartenait au prestataire de choisir les finalités du logiciel, de surcroît, l’adresse URL litigieuse n’étant pas utilisée par la société, elle ne saurait fonder la mise en cause de sa responsabilité.
Cet argument a été rejeté par la CNIL suite à une réflexion efficace : d’une part, les données personnelles concernées par la fuite n’avaient d’intérêt que pour la société, et d’autre part, le fait de confier la réalisation, qui plus est en ayant établi un cahier des charges, d’un logiciel ayant pour objet le traitement de données personnelles à un prestataire ne permet pas d’exonérer la société de sa responsabilité (car la prestation a initialement été commandée, par elle).
La CNIL ajoute également que le recours à un prestataire crée “plutôt, une responsabilité supplémentaire de contrôle effectif des agissements du prestataire”.
En d’autres termes, la société, du fait de la présence d’un prestataire, voit, au contraire, sa responsabilité augmentée ; insistant ainsi sur la nécessaire prise en compte des différentes relations contractuelles que peut avoir un responsable de traitement.
Ceci fait directement écho à la prise en compte des relations “responsable de traitement/sous-traitants” telles que prévues au sein du RGPD.
Le second porte sur le principe d’accountability, pierre angulaire du nouveau droit de la protection des données personnelles. Pour rappel, ce principe figure au sein du RGPD2 et signifie qu’il appartient au responsable de traitement de mettre en œuvre, de vérifier, et d’actualiser sa conformité, notamment au RGPD. Cette conformité se traduisant aussi bien par une connaissance légale des dispositions en la matière que par une connaissance efficace de ses systèmes informatiques.
La CNIL évoque ce principe avec une référence - presque lapidaire - à des “tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques”. La CNIL s’appuie sur l’absence de tels tests, qui auraient permis de déceler la fuite de données personnelles, et rappelle que la loi impose au responsable de traitement d’assurer une sécurité de ses systèmes informatiques, notamment contre les accès non autorisés aux données traitées3, pour mettre en cause une nouvelle fois la responsabilité de la société.
Peu importe d’ailleurs que les données personnelles concernées aient une importance stratégique ou non ; seule la nature de telles données importe.
Ce principe de sécurité est partie intégrante du RGPD à venir ; en effet, la compliance imposée aux responsables de traitement impose un audit régulier et efficace de l’ensemble de ses systèmes informatiques.
Et c’est dans cette continuité que la CNIL pointe également l’importance de la réactivité d’une société dont le système informatique présente des failles de sécurité : “À ce titre, elle souligne qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires”, d’où l’intérêt de posséder des procédures efficaces et réactives en cas de violation de système de sécurité.
Au point que la CNIL, dans une démarche de coopération avec les différents acteurs concernés par le droit des données personnelles et le futur RGPD, a mis en avant une série de points positifs, et même l’attitude de la société dans la gestion de cette faille.
En effet, la décision de la CNIL relève deux points importants, eux aussi inclus dans le règlement européen, qui sont la coopération avec l’autorité de contrôle, et la réactivité de la société face à des failles de sécurité (qui a effectué quelques mois après la notification de la faille de sécurité un audit complet de ses systèmes informatiques).
Ces deux points ont d’ailleurs permis une baisse de l’amende finalement supportée par la société (le rapport de la CNIL préconisant une amende de 200 000 euros au regard des différentes violations du droit en vigueur) pour atteindre le somme de 100 000 euros.
La coopération avec la CNIL est d’ailleurs également évoquée au sein du RGPD, prévoyant la mise en place (recommandée) d’un Data Protection Officer (DPO) dont l’une des principales attributions est la collaboration avec les autorités de contrôle.
En conséquence, dans sa première décision de 2018, la CNIL met en avant une responsabilité toujours plus forte pour les entreprises mettant en œuvre des traitements de données personnelles, les invitant à être dans une démarche de conformité continue, notamment via une analyse régulière de leurs systèmes informatiques, afin d’être au plus près des objectifs donnés par le prochain règlement sur les données personnelles.
Sources :
1 https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1
2 article 24 et suivants, Règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
3article 34 - Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés