Alerte Actualités Data Protection - Janvier 2022

L’ensemble des membres de l’équipe Data Protection vous souhaite une excellente année 2022.

Les enseignements des dernières sanctions de l’année 2021 prononcées par la CNIL

Par deux délibérations en date du 28 décembre 2021, la formation restreinte de la CNIL a sanctionné les sociétés SLIMPAY et FREE MOBILE pour manquement à leur obligation d’assurer la sécurité des données alors même qu’aucune utilisation frauduleuse des données n’ait été constatée et qu’aucun préjudice n’ait été établi.

Décryptage de la sanction de 180 000 euros prononcée à l’encontre de la société SLIMPAY (accessible ici)

Le 28 décembre 2021, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 180 000 euros à l’encontre de la société SLIMPAY pour manquement à son obligation d’assurer la sécurité des données et à son obligation d’information des personnes concernées par cette violation.

Compétence de la CNIL - L’autorité compétente pour prononcer cette sanction est la CNIL car le siège social de la société est en France. En revanche, les personnes concernées par la violation de données se trouvant en Allemagne, en Espagne, en Italie et aux Pays-Bas, la CNIL (autorité de contrôle chef de file) a coopéré avec les autorités de contrôle de ces pays.

Faits et procédure - La société SLIMPAY, qui a pour activité le conseil en systèmes et logiciels informatiques, est un établissement de paiement agréé dans l’espace unique de paiement en euros (Single Euro Payments area ou «SEPA») et proposant à ses clients des services de paiement récurrents et des solutions de gestion des abonnements.

En 2015, la société a importé les données personnelles de ses clients, contenues dans ses bases de données, vers un serveur spécifique afin de les utiliser dans le cadre d’un projet de recherche interne sur un mécanisme de lutte contre la fraude.

Or, un an plus tard et alors même que le projet de recherche a pris fin, les données des clients sont restées stockées sur ce serveur sans procédure de sécurité particulière exposant ainsi les données personnelles (état civil, données bancaires et coordonnées) de 12 millions de personnes librement accessible sur internet.

Ce n’est qu’en février 2020 et suite à l’alerte de l’un de ses clients que SLIMPAY a procédé à l’isolement du serveur, mis sous séquestre les données et notifié à la CNIL la violation de données.

A la suite de cette notification, la CNIL a effectué un contrôle sur pièces auprès de la société et a constaté divers manquements aux obligations prévues par RGPD.

A noter que le fait que la société soit à l’origine de la procédure relative à la violation de son obligation de sécurité est sans incidence sur la possibilité pour la CNIL de constater l’existence d’autres manquements au RGPD.

Ainsi, la CNIL a relevé trois manquements au RGPD :

1. Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant ultérieur

L’article 28 du RGPD énumère toutes les obligations, clauses et mentions obligatoires devant figurer dans le contrat conclu entre un sous-traitant et un sous-traitant ultérieur qui traite des données pour le compte du responsable de traitement. En effet, il pèse sur le sous-traitant ultérieur les mêmes obligations et garanties quant à la mise en œuvre de mesures techniques et organisationnelles que celles du sous-traitant initial.

Or la CNIL a constaté que lorsque la société SLIMPAY, qui a agi comme sous-traitant dans le cadre de la fourniture de ses services à ses clients, a eu recours à des sous-traitants ultérieurs elle n’a pas respecté les dispositions de l’article 28 du RGPD dans la mesure où la société s’est contentée d’établir un questionnaire relatif à la sous-traitance sans valeur contraignante et les contrats conclus avec les sous-traitants ultérieurs ne contenaient ni les clauses ni les mentions obligatoires imposées par l’article 28 du RGPD.

2. Manquement à l’obligation d’assurer la sécurité des données personnelles

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité suffisant.

Or la CNIL a relevé un manquement continu de la société SLIMPAY à son obligation de sécurité dans la mesure où les données des clients de SLIMPAY sont restées hébergées sur un serveur entre novembre 2015 et février 2020 sans qu’aucune mesure de sécurité particulière n’ait été mise en place et ayant pour conséquence un libre accès des données depuis internet au moyen d’une URL.

En effet, la CNIL reproche à la société de ne pas avoir mis en place des mesures de restriction d’accès et de journalisation des accès au serveur et d’avoir conservé ces données dans des formats lisibles.

3. Manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées

L’article 34 du RGPD dispose que lorsque la violation des données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne, le responsable de traitement a l’obligation de communiquer la violation des données à la personne concernée.
Or la CNIL a considéré que, compte tenu de la nature des données personnelles (notamment les informations bancaires), du volume de personnes concernées (12 millions), de la facilité d’identifier les personnes touchées par la violation et des conséquences possibles pour les personnes concernées (risque d’hameçonnage ou d’usurpation d’identité), le risque associé à la violation doit être considéré comme élevé.

Ainsi, la CNIL a conclu que SLIMPAY a méconnu ses obligations au titre de l’article 34 du RPGD dans la mesure où elle n’a pas informé les personnes concernées de la violation de leurs données ce qu’elle aurait dû faire.

Sanction et publicité de la décision - Considérant le nombre important de personnes concernées, la sensibilité des données exposées, la longue période d’accessibilité de ces données et le secteur d’activité de la société, la CNIL a décidé de prononcer une sanction de 180 000 euros à l’encontre de la société SLIMPAY et de rendre sa décision publique.

Décryptage de la sanction de 300 000 euros prononcée à l’encontre de la société FREE MOBILE (accessible ici)

Le 28 décembre 2021, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 300 000 euros à l’encontre de la société FREE MOBILE pour manquement à son obligation d’assurer la sécurité des données et non-respect des droits des personnes.

Faits et procédure - La société FREE MOBILE est un opérateur de téléphonie mobile qui commercialise des téléphones et/ou des forfaits mobiles. Entre décembre 2018 et novembre 2019, la CNIL a reçu 19 plaintes de personnes indiquant avoir eu des difficultés à exercer leur droit d’accès ou d’opposition aux messages de prospection commerciale envoyés par l’opérateur.

A la suite de ces plaintes, la CNIL a procédé à deux opérations de contrôle sur place et sur pièce de la société FREE MOBILE au cours desquels elle a pu constater plusieurs manquements au RGPD :

1. Manquements aux droits des personnes (droit d’accès et droit d’opposition)

S’agissant du droit d’accès, plusieurs personnes ont demandé à FREE MOBILE d’avoir accès aux données les concernant (numéro de téléphone, copie de l’enregistrement d’un appel...).

Or la CNIL a relevé que l’opérateur a méconnu les obligations prévues aux articles 12 et 15 du RGPD relatifs au droit d’accès en ne donnant pas suite aux demandes formulées par les plaignants dans le délai d’un mois prévu par le RGPD.

S’agissant du droit d’opposition, plusieurs personnes ont reçu des communications de prospection commerciale (démarchages téléphoniques, prospection commerciale par SMS et courrier, ...) de la part de FREE MOBILE alors qu’elles s’étaient préalablement opposées au traitement de leur données personnelles à des fins de prospection commerciale.

Dans ce cadre, la CNIL a relevé que l’opérateur n’a pas respecté les obligations prévues aux articles 12 et 21 du RGPD relatifs au droit d’opposition en ne prenant pas en compte les demandes d’opposition des plaignants quant au traitement de leur données à des fins de prospection commerciale dans le délai d’un mois prévu par le RGPD.

2. Manquement à l’obligation de protéger les données des personnes dès la conception

Plusieurs personnes ont continué à recevoir des factures concernant des lignes téléphoniques dont l’abonnement avait été préalablement résilié.
La CNIL a donc considéré que FREE MOBILE a manqué aux obligations de l’article 25 du RGPD dans la mesure où un processus de facturation produisant des informations obsolètes a été mis en place et des mesures techniques et organisationnelles permettant d’effacer les données personnelles qui n’étaient plus nécessaires pour les besoins de la facturation n’ont pas été mis en œuvre dès la conception.

3. Manquement à l’obligation d’assurer la sécurité des données personnelles

La CNIL a relevé un manquement de l’opérateur à l’obligation de sécurité prévue par l’article 32 du RGPD dans la mesure où FREE MOBILE a transmis en clair par courriel les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société sans ce que ces mots de passe ne soient temporaires ou à usage unique et que la société n’impose de le changer. Cela rendait ainsi les mots de passe aisément utilisables par un tiers.

Sanction et publicité de la décision - Considérant la pluralité des manquements au RGPD, les nombreuses plaintes, le risque pour la vie privée associé au manque de sécurité des données et l’importance de FREE MOBILE dans le secteur des télécommunications, la CNIL a décidé de prononcer une sanction de 300 000 euros à l’encontre de la société FREE MOBILE et de rendre sa décision publique.

Que retenir de ces deux décisions ?

De manière générale, ces sanctions démontrent une nouvelle fois le fort intérêt porté par la CNIL aux mesures de sécurité mises en œuvre par les organismes et leur effectivité. En effet, le manquement à l’obligation de sécurité est l’un des plus fréquemment invoqués par la CNIL dans ses sanctions au cours des dernières années.

S’agissant des apports à retenir de ces nouvelles sanctions, la CNIL a considéré que l’absence d’utilisation frauduleuse des données et de préjudice avéré est sans incidence sur la caractérisation du manquement à l’obligation de sécurité posée à l’article 32 du RGPD.

En effet, dans ces deux décisions, les données des personnes ont uniquement été exposées à un risque de violation mais n’ont pas été exploitées par un attaquant dans les faits.

En outre, la CNIL semble admettre que le seul défaut de sécurité ou risque de sécurité insuffisant engendre un risque de violation des données qui suffit à caractériser un manquement à l’obligation de sécurité.

En effet, si la CNIL n’a pas relevé de violation stricto sensu de l’obligation de sécurité qui découle du RGPD et de la Loi informatique et libertés, elle a considéré que les traitements considérés sont contraires à ses guides et recommandations ainsi que ceux de l’ANSSI en matière de de sécurité des données.

Les guides et recommandations de la CNIL et de l’ANSSI ne sont pas contraignants. Cependant, la CNIL considère qu’ils exposent des "précautions élémentaires de sécurité correspondant à l’état de l’art" qui justifient que soit pris en compte le droit souple dans ses décisions en complément de l’application du RGPD.

Ces délibérations méritent dès lors une attention particulière dans la mesure où désormais, les sanctions applicables prévues par le RGPD en cas de manquement à l’obligation de sécurité peuvent s’appliquer même en l’absence de préjudice avéré ou de violation de données.

Ainsi, il est recommandé aux responsables de traitement et aux sous-traitants d’être particulièrement vigilants quant à la mise en place de mesures de sécurité appropriées et de mécanismes permettant de notifier en temps utile lesdites violations de données aux personnes concernées et aux autorités de contrôle.