Mesures élémentaires de sécurité de la CNIL, de quoi s’agit-il ?


Le RGPD, depuis son entrée en application le 25 mai 2018, a renforcé les pouvoirs d'investigation des autorités de contrôle, dont ceux de la Commission Nationale Informatique & Libertés (CNIL). Celle-ci a prononcé un nombre important de sanctions à l’égard d’entreprises françaises, invoquant des « mesures élémentaires de sécurité » trop faibles. Mais de quoi s’agit-il ? Focus.

Qu’est-ce qu’une mesure élémentaire de sécurité ?

En analysant à la lettre les textes juridiques nationaux et européens, nous ne retrouvons pas la notion de « mesures élémentaires de sécurité », qu’il s’agisse de la loi Informatique & Libertés ou du Règlement général sur la protection des données (RGPD).

La première indique dans son article 34 alinéa 1er : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Le RGPD, quant à lui, confirme l’obligation de sécurité pour les acteurs de traitement qui doivent mettre en œuvre « les mesures techniques et organisationnelles appropriées » (articles 24 et 28). Nulle mention ni référence à des mesures élémentaires de sécurité… Pourtant, son absence dans les textes de référence n’empêche pas la CNIL d’imposer des sanctions à l’égard de plusieurs entreprises françaises sur ce motif. En voici plusieurs exemples.

Création jurisprudentielle des mesures élémentaires

La première sanction de la CNIL pour non mise en place des mesures de sécurité dîtes élémentaires a été prononcée le 17 juillet 2014 à l’encontre de la Fédération française d’athlétisme (FFA). La formation restreinte de l’autorité de contrôle considérait alors que la FFA n’avait pas mis en place des mesures de sécurité basiques, comme la modification des paramètres afin d’imposer une robustesse et un renouvellement des mots de passe[1].

Depuis lors, les recours à cette notion se sont répétés tous les ans et à l’encontre de nombreux organismes. En 2015, la CNIL a considéré que la société Profils Seniors avait manqué à son obligation de garantir la sécurité des données par la mise en œuvre de mesures élémentaires, du fait de l’utilisation d’une connexion FTP qui ne permettait pas un transfert de données sécurisé vers ses prestataires et n’empêchait pas leur accès par des tiers non autorisés[2].

Un an plus tard, le Parti socialiste est également épinglé par la CNIL pour le même motif. Celui-ci n’a pas pris les mesures élémentaires de rigueur, notamment à l’égard des règles de l’art, afin de corriger une faille de sécurité concernant 71 467 adhérents[3]. En 2017, la CNIL refait appel à la notion de mesures élémentaires de sécurité pour prononcer des sanctions à l’encontre :

  • d’Allocab : absence de stockage du sel[4]dans un espace distinct de celui où sont stockés les mots de passe[5] ;
  • Ouicar : non mise en œuvre d’un processus d’authentification permettant de restreindre l’accès aux résultats affichés par les interfaces de programmation applicatives (ou API)[6];

Web Editions : non réalisation d’un protocole complet de test avant la mise en production du site web et pas de vérifications régulières après son déploiement[7].

2018 : les sanctions continuent

En 2018, l’autorité de contrôle poursuit ses sanctions. Le 8 janvier, c’est Darty qui n’a pas vérifié l’application des règles de filtrage des URL[8]. Les 7 mai et 21 juin, Optical Center[9] et l’Association pour le Développement des Foyers[10] sont tous deux sanctionnés pour n’avoir pas mis en place une restriction d’accès aux documents mis à disposition des clients via leur espace réservé, accessible grâce à un identifiant et un mot de passe.

 

Le 24 juillet, la CNIL ajoute que la sécurité de la connexion à distance des collaborateurs au réseau informatique interne d’une entreprise est une précaution élémentaire que Dailymotion aurait dû prendre afin de préserver l’intégrité du réseau[11]. A l’approche des fêtes de fin d’année, la CNIL se réunit pour sanctionner Uber France sur le même grief après que la société ait subi une attaque d’ampleur[12].

Consécration doctrinale des mesures élémentaires

Dans une démarche didactique, la CNIL a dressé un inventaire des mesures qu’elle s’attend à voir appliquer de façon systématique par les acteurs de traitement, dans son Guide de la sécurité des données personnelles publié sur son site début 2018. Y figurent les précautions que la formation restreinte avait distillé dans ses délibérations, et bien d’autres comme :

  • sensibiliser les utilisateurs ;
  • authentifier les utilisateurs ;
  • gérer les habilitations ;
  • tracer les accès et gérer les incidents ;
  • sécuriser les postes de travail ;
  • sécuriser l’informatique mobile ;
  • protéger le réseau informatique interne ;
  • sécuriser les serveurs ;
  • sécuriser les sites web ;
  • sauvegarder et prévoir la continuité d’activité ;
  • archiver de manière sécurisée ;
  • encadrer la maintenance et la destruction des données ;
  • gérer la sous-traitance ;
  • sécuriser les échanges avec d’autres organismes ;
  • protéger les locaux ;
  • encadrer les développements informatiques ;
  • chiffrer, garantir l’intégrité ou signer.

Les mesures élémentaires, un essentiel ou l'essentiel de la conformité au RGPD ?

Le guide propose une liste dense d’actions à planifier, à attribuer, à mettre en œuvre et à vérifier tout au long du traitement des données personnelles. Ces actions préventives constituent l’une des clés de la conformité au RGPD. Les organismes les plus matures sur le sujet de la protection des données personnelles verront les mesures de sécurité élémentaires comme un renforcement ou un prolongement de pratiques ayant potentiellement déjà cours dans leur processus.

Toutefois, d’autres entités, pour lesquelles la protection des données personnelles n’a pas constitué une priorité ces dernières années, pourront tirer profit de l’implémentation des mesures de sécurité élémentaires et saisir cette opportunité afin d’initier une véritable démarche en matière de cyber-sécurité et un chantier impliquant protection des systèmes d’information et sécurité des données et actifs.

En effet, l’obligation de sécurité et l’application des mesures élémentaires de sécurité ci-dessus ne sont pas les seules exigences du règlement européen et de la loi Informatique & Libertés auxquelles il est nécessaire de se conformer. S’ajoutent à cela, la désignation du délégué à la protection des données, la mise en œuvre des grands principes comme la minimisation ou la conservation, l’intégration de la privacy dans les projets dès la conception et par défaut, et bien d’autres, ce qui illustre la complexité du chantier de protection des données personnelles.

[1] 17 juillet 2014, Fédération française d’athlétisme : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000029298774

[2] 21 décembre 2015, Profils Seniors : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000031833147

[3] 13 octobre 2016, Parti socialiste : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000033373161

[4] En cas de hachage cryptographique de mots de passe, le sel constitue l’aléa utilisé lorsqu’il est différent pour chaque mot de passe.

[5] 13 avril 2017, Allocab : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000034473080

[6] 20 juillet 2017, Ouicar : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035272571

[7] 16 novembre 2017, Web Editions : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000036066916

[8] 8 janvier 2018, Darty : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140

[9] 7 mai 2018, Optical Center : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000037013610

[10] 21 juin 2018, AFD : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037110598

[11] 24 juillet 2018, Dailymotion : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT

[12] 19 décembre 2018, Uber France SAS : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT

A propos du blogueur

Sara a étudié le droit public au sein de la Faculté de droit de l’Université Grenoble Alpes. Avant de rejoindre OCD, elle a officié en tant qu’analyste en conformité juridique pour l’ONG new-yorkaise Shift Project.

Désormais rattachée à la Business Unit Conseil et Audit, elle intervient dans le cadre de missions relatives au droit de la cybersécurité et à la conformité règlementaire des organisations, notamment dans l’accompagnement des clients à la certification HDS, à la mise en conformité au RGPD et à l’assistance au Délégué à la protection des données.

Sara, consultante en cybersécurité chez Orange Cyberdefense