Délibération n°SAN -2018-012 du 26 décembre 2018
La CNIL, dans sa délibération du 26 décembre 2018, rappelle que l’obligation de sécurité des données à caractère personnel qui pèse sur le responsable de traitement est une obligation de moyens, et non de résultat. Cependant, cette obligation peut devenir une obligation de moyens renforcée eu égard aux spécificités du système d’information choisi par le responsable de traitement.
La CNIL a été avisée, le 2 mars 2018, soit quelques mois avant l’entrée en application du RGPD, de ce que les données personnelles des clients de la marque B&You détenue par BOUYGUES TELECOM étaient insuffisamment protégées. La plateforme en cause était destinée à l’édition de factures et à la gestion administrative de leurs contrats par les clients de BOUYGUES TELECOM.
En effet, un simple incident technique avait permis de rendre librement accessibles l’ensemble des données à caractère personnel des clients de ladite marque. Une nouvelle fois, la simple modification d’une adresse URL entraînait l’accès à des contrats et factures de clients.
L’ampleur de la faille de sécurité était notable : elle a duré plus de deux ans, et concerné plus de deux millions d’utilisateurs.
Le 6 mars 2018, la société BOUYGUES TELECOM, conformément à ses obligations, a notifié la faille de sécurité à la CNIL. Une mission de contrôle par les agents de la CNIL s’en est suivie dans les locaux de la société BOUYGUES TELECOM.
Au visa de l’article 34 ancien de la Loi informatique et libertés, lequel dispose « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », la formation restreinte de la CNIL a donc condamné la société BOUYGUES TELECOM à une amende de 250 000 € au motif qu’elle avait gravement manqué à la sécurité des données à caractère personnel de ses clients.
Il ressort de cette décision que cette vulnérabilité du système était liée à un simple oubli de réactivation de la fonction d’authentification du client, suite à une opération de tests suivant la fusion de bases de données clients B&You et de clients BOUYGUES TELECOM.
Soulignons que la CNIL a retenu, pour fixer le montant de l’amende administrative, la grande réactivité de la société BOUYGUES TELECOM, laquelle a, dès le 5 mars 2018, mis en place de nombreuses mesures afin d’empêcher l’accès aux données, sans avoir identifié l’origine de la faille. Dès le 9 mars, la CNIL a pu constater qu’il était désormais impossible d’accéder librement aux données.
Ainsi, La CNIL rappelle à la faveur de cette décision, que l’obligation de sécurité pesant sur le responsable de traitement est une obligation de moyens, et non de résultat. Elle précise notamment :
« La formation restreinte estime dès lors que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier.
La formation restreinte considère, par conséquent, que la société n’a pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées. »
Le manquement à l’article 34 de la Loi informatique et libertés est donc constitué, la société BOUYGUES TELECOM n’ayant pas mis en œuvre les moyens suffisants qui s’imposaient compte tenu de la spécificité du système d’information choisi qui aurait mérité des mesures de revue plus adaptées.
A rapprocher : Article 34 de la Loi informatique et libertés