La Commission nationale de l’informatique et des libertés (« CNIL ») a prononcé, le 25 juillet 2019, une amende de 180 000 euros à l’encontre de la société Actives Assurances, intermédiaire en assurance spécialisé dans la distribution de contrats d’assurance automobile en ligne à des particuliers, pour avoir insuffisamment protégé les données des utilisateurs de son site internet.
Il s’agit de la deuxième sanction prononcée par la CNIL en matière de sécurité des données depuis l’entrée en vigueur du RGPD. Une fois de plus, cette sanction est sévère, mais surtout, elle n’a pas été précédée de mise en demeure. Dans le contexte actuel, cela appelle à une grande prudence.
Sanctions sans mise en demeure préalable
La politique de sanction de la CNIL s’illustre classiquement par sa démarche pédagogique, tendant à inciter à la mise en conformité. Ainsi, en 2018, année d’entrée en vigueur du RGPD, alors que la CNIL recensait 11 077 plaintes et 310 contrôles, ceux-ci se sont soldés par 48 mises en demeure et seulement 9 sanctions pécuniaires.
En 2019, les décisions rendues en matière de sécurité de données nous montrent que la CNIL s’écarte de sa démarche pédagogique classique et sanctionne les entreprises défaillantes plus directement, sans mise en demeure préalable.
Dans l’affaire Actives Assurances, l’un des clients de cet intermédiaire s’est aperçu, à partir de son compte, qu’il pouvait facilement accéder aux données personnelles d’autres clients. Ce client a alerté la CNIL qui a, d’abord, procédé à un contrôle en ligne et constaté à cette occasion que les comptes des clients étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Le même jour, la CNIL a alerté la société de ce défaut de sécurité et de la violation de données qui en résultait, et lui a demandé d’y remédier, sans que cette information ne constitue une mise en demeure.
Quelques jours plus tard, alors que la société avait informé la CNIL que des mesures avaient été prises, un nouveau contrôle sur place a révélé que celles-ci n’étaient pas suffisantes pour sécuriser les données personnelles. La CNIL a alors considéré que la société avait manqué à son obligation de sécurité des données personnelles prévue par l’article 32 du RGPD et lui a infligé une amende de 180 000 euros et a rendu publique sa décision.
Cette décision n’est pas isolée. Deux mois auparavant, le 28 mai 2019, la formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société Sergic, administrateur de biens immobiliers, pour atteinte à la sécurité des données et non-respect des durées de conservation.
C’est également le signalement d’un utilisateur du site de la société qui, en août 2018, déclenche la procédure. Ce dernier s’est aperçu qu’il pouvait facilement accéder aux dossiers de milliers de candidats. La CNIL a ici aussi procédé à un test et a pu, à distance, télécharger plus de 4 000 dossiers au sein d’un répertoire de 290 870 fichiers.
Quelques jours plus tard, l’autorité a réalisé un contrôle sur place. Deux griefs sont alors relevés à l’encontre de la société : d’une part, un manquement à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site internet, aggravé par la nature des données rendues accessibles et d’autre part, le manque de diligence de l’entreprise dans la correction de cette faille (la CNIL déplore que Sergic ait mis plus de six mois à réparer cette fuite).
Ces deux décisions surprennent par la rapidité de la sanction – dans les deux cas il s’est écoulé moins d’un an entre le signalement de la faille et la sanction – mais surtout par l’absence de mise en demeure préalable.
Avant 2016, en l’absence d’une telle mise en demeure, la CNIL était dans l’impossibilité de prononcer une sanction pécuniaire, et ne pouvait se contenter que d’un simple avertissement. Ce n’est qu’en 2016, que la loi n° 2016-1321 pour une République numérique lui a permis, pour la première fois, de sanctionner directement une entité lorsqu’un manquement constaté avait été régularisé et ne pouvait faire l’objet d’une mise en demeure.
Les modifications postérieures de la loi informatique et libertés visant à mettre en conformité les dispositions législatives nationales avec celles du RGPD ont encore élargi cette possibilité puisque depuis le 20 juin 2018, la mise en demeure constitue une simple mesure correctrice qui n’est plus un préalable nécessaire au prononcé d’une sanction pécuniaire.
Ainsi, la CNIL fait désormais pleinement application de ces dispositions, et ses récentes décisions confirment sa tendance à la tolérance zéro en cas de manquement élémentaire à la sécurité des données, en cohérence avec ce qu’elle avait annoncé dans son 39ème rapport annuel, pour 2018 :
« En matière de contrôles et de politique répressive, l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle, que la CNIL avait annoncée début 2018. En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la loi du 6 janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016. Désormais, la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements. »
Impacts de la crise sanitaire sur la sécurité des données
Le début de l’année 2020 est marqué par un contexte de crise sanitaire lié au COVID-19 et son impact sur tous les secteurs d’activité, en ce compris l’activité de la CNIL.
Notamment, les mesures de confinement ordonnées par le gouvernement le 17 mars 2020 et la généralisation du télétravail laissent entrevoir de nombreux dangers pour la sécurité informatique des entreprises insuffisamment protégées ou préparées aux éventuelles cyberattaques et donc de potentielles atteintes aux données personnelles.
Dès le 18 mars 2020, la CNIL a indiqué avoir suspendu temporairement ses permanences juridiques téléphoniques, mais maintenu ses services en ligne, parmi lesquels ceux permettant de lui adresser une plainte ou de notifier une violation de données personnelles.
Mais, face aux risques accrus soulignés précédemment et au nécessaire ralentissement de l’activité de la CNIL, il est légitime de s’interroger sur l’évolution de sa nouvelle politique de sanction. En effet, si jusqu’ici les sanctions infligées en cas de manquement à l’obligation de sécurité ont toujours été prononcées à l’issue un contrôle sur place, les mesures de confinement actuelles pourraient conduire la CNIL à sanctionner les responsables de traitement défaillants seulement sur la base d’un contrôle en ligne, ce qui justifie également de redoubler de prudence dans les prochaines semaines.