Madame, Monsieur,
Pendant les vacances, l’actualité RGPD ne s’est pas essoufflée, avec, entre autres, la remise en question du Privacy Shield par le Parlement européen, une décision de la CJUE statuant sur le statut de responsables du traitement des Témoins de Jehova, ainsi que deux nouvelles sanctions de la formation retreinte de la CNIL portant sur l’obligation de sécuriser les données à caractère personnel.
La CNIL a également indiqué les sujets sur lesquels porteront ses contrôles, au premier rang desquels figurent les traitements liés au recrutement. A ce titre, le cabinet organisera une matinale sur le sujet spécifique du recrutement et du RGPD.
Nous vous souhaitons une bonne lecture,
L’ADEF condamnée à payer 75 000 € : La CNIL persévère dans sa lutte contre les atteintes à la sécurité
La formation restreinte de la CNIL a prononcé une sanction de 75 000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour avoir insuffisamment protégé les données des utilisateurs de son site internet.
L’association pour le Développement des Foyers (ADEF) est une association de droit privé ayant pour mission de mettre à disposition des logements dans des résidences et foyers pour personnes en difficulté sociale.
En juin 2017, la CNIL a été informée de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association.
Au cours d’un contrôle en ligne, la CNIL a effectué une demande de logement en renseignant le formulaire sur le site de l’association, et a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder aux documents enregistrés par d’autres demandeurs.
Après une recherche viale moteur de recherche Google, la CNIL a également constaté que des avis d’imposition sur les revenus figuraient dans les résultats affichés.
La CNIL a donc alerté l’association de cette violation de données le 15 juin 2017 et lui a demandé d’y remédier.
Six jours plus tard, le 21 juin 2017, un contrôle sur place a eu lieu dans les locaux de l’ADEF et la CNIL a constaté que les données étaient toujours accessibles.
L’ADEF s’est défendue en invoquant le fait qu’elle avait reçu le PV de constatation en ligne du 15 juin 2017 le 22 juin, soit un jour après le contrôle sur place de la CNIL. La CNIL a rétorqué que ce PV avait également été envoyé par courriel le 20 juin 2017, soit un jour avant le contrôle, et que l’ADEF avait en conséquence eu le temps de remédier à ses manquements.
La CNIL note en premier lieu que les mesures élémentaires de sécurité n’ont pas été prises en amont du développement du site, et relève notamment :
- l’absence d’un dispositif permettant d’éviter la prévisibilité des URL ;
- l’absence d’une restriction d’accès aux documents mis à la disposition des personnes viaun espace réservé à chaque personne.
Elle relève en second lieu que l’exploitation de la violation de données (vial’écriture de l’URL ou la recherche sur un moteur de recherche) ne nécessitait aucune compétence technique particulière. Elle rappelle, en outre, que l’exposition de données à caractère personnel, sans contrôle d’accès préalable, est identifiée comme faisant partie des failles de sécurité pour lesquelles une surveillance particulière s’impose et doit, en conséquence, faire l’objet de vérifications, notamment dans le cadre d’un audit de sécurité. La CNIL estime, par conséquent, que l’ADEF n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.
En troisième lieu, l’association précise que l’incident concernait seulement les documents fournis par les personnes n’ayant pas finalisé leur démarche sur le site internet. La CNIL considère que cela révèle une conservation des données pendant une durée non justifiée, et est sans incidence sur la caractérisation du manquement.
La CNIL relève, en conséquence, un manquement de l’ADEF à son obligation de préserver la sécurité et la confidentialité des données à caractère personnel des utilisateurs de son site (article 34 de la Loi informatique et liberté).
Sur la détermination de la sanction, la CNIL relève que la gravité de la violation est caractérisée en raison de la nature des données concernées (justificatifs d’identité, bulletins de salaire, avis d’imposition, attestations de paiement de la CAF…), et du nombre de documents (42 652) et de personnes concernées par la violation. La CNIL a donc prononcé une sanction pécuniaire de 75 0000 euros à l’encontre de l’association, et a décidé de rendre publique sa décision.
Cette décision s’inscrit dans la lignée des précédentes délibérations de la CNIL, par lesquelles cette dernière a également condamné des sociétés pour manquement à l’obligation de préserver la sécurité des données (DARTY, OPTICAL CENTER).
Le Privacy Shield remis en cause par le Parlement européen
Le 5 juillet 2018, les membres du Parlement européen ont voté une résolution visant à demander à la Commission européenne la suspension du Privacy Shield, à moins que les Etats-Unis ne se mettent en conformité au 1erSeptembre 2018.
Le Privacy Shield, mécanisme d’adéquation partielle des entreprises américaines qui est venu remplacer le Safe Harbor il y a deux ans, est dans le viseur du Parlement européen. Ce dernier, dans une résolution votée le 5 juillet dernier, relève que le Privacy Shield ne fournit pas un niveau de protection adéquate des données à caractère personnel.
Le Parlement européenne mentionne, dans ce texte :
- l’utilisation abusive des données qui est faite par des sociétés américaines certifiées au titre du Privacy Shield, telles que Facebook et Cambridge Analytica, le Parlement relevant que ces deux sociétés sont toujours certifiées à ce jour ;
- le manque d’indépendance et de pouvoirs effectifs du médiateur mis en place par le Département d’Etat américain, qui n’assurerait pas un recours effectif aux citoyens européens ;
- le partage de grandes quantités de données par la NSA ;
- etc
Par cette résolution, le Parlement invite la Commission à prendre toutes les mesures nécessaires pour garantir que le Privacy Shield soit entièrement conforme au RGPD, et demande en conséquence à la Commission de suspendre le Privacy Shield jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord.
Nous restons donc dans l’attente d’une réaction de la Commission.
Les témoins de Jéhovah, des responsables du traitement comme les autres
La Cour de justice de l’Union européenne a rappelé le 10 juillet 2018, que les traitements de données à caractère personnel effectués dans le cadre de l’activité de prédication de porte-à-porte des témoins de Jéhovah devaient respecter les règles du droit de l’Union en matière de protection des données à caractère personnel.
La Cour administrative suprême de Finland a posé une question préjudicielle afin de savoir si la communauté des témoins de Jéhovah était soumise au respect des règles du droit de l’Union en matière de protection des données à caractère du fait que ses membres, lorsqu’ils exercent leur activité de prédication de porte-à-porte, peuvent être amenés à prendre des notes retranscrivant le contenu de leur entretien et, en particulier, l’orientation religieuse des personnes auxquelles ils ont rendu visite.
Les notes des témoins de Jéhovah contiennent également le nom et l’adresse des personnes démarchées ainsi que des informations portant sur leurs convictions religieuse et leur situation familiale. Ces données sont collectées à titre d’aide-mémoire afin de pouvoir être retrouvées pour une éventuelle visite ultérieure, sans que les personnes concernées y aient consenti ou n’aient été informées.
Les paroisses de la communauté des témoins de Jéhovah gérerait également une liste des personnes ayant exprimé le souhait de ne plus faire l’objet de visites de la part des membres prédicateurs.
La CJUE a considéré, dans cet arrêt du 10 juillet 2018, que l’activité de prédication de porte-à-porte ne relevait pas des exceptions prévues par le droit de l’Union en matière de protection des données. Il ne s’agit notamment pas d’une activité « exclusivement personnelle ou domestique ».
Elle rappelle que le droit de l’Union en matière de protection des données ne s’applique au traitement manuel des données que lorsque ces dernières sont contenus dans un fichier ou appelées à figurer dans un fichier. La Cour relève ici qu’il n’y ait pas de traitement automatisé. Cependant, la notion de « fichier » couvre, selon elle, tout ensemble de données à caractère personnel collecté dans le cadre d’une activité de prédication de porte-à-porte et comportant les noms et les adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieur.
La Cour en conclut que le traitement en cause doit respecter les règles du droit de l’Union en matière de protection des données à caractère personnel.
Elle poursuit sur la question de la détermination des responsables du traitement.
La Cour estime que rien ne lui permet de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement. Elle considère, en revanche, qu’une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement.
En outre, la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel.
Pour la Cour, il apparaît que la communauté des témoins de Jéhovah, en organisant, coordonnant et encourageant l’activité de prédication de ses membres, participe, conjointement avec ses membres prédicateurs, à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées, « ce qu’il appartient toutefois à la juridiction finlandaise d’apprécier au regard de l’ensemble des circonstances de l’espèce ».
La Cour conclut que le droit de l’Union en matière de protection des données à caractère personnel permet de considérer une communauté religieuse comme responsable, conjointement avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que la communauté en question ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ce traitement.
Sur quoi porteront les contrôles de la CNIL ?
Avec l’entrée en application du RGPD ainsi que de la loi relative à la protection des données personnelles, la CNIL rappelle qu’elle contrôlera le respect des principes fondamentaux de la protection des données, pour l’essentiel inchangés par rapport à la loi de 1978, et vérifiera le respect des obligations nouvelles issues du RGPD.
Comme elle l’a déjà annoncé, la CNIL tiendra compte dans un premier temps, dans l’appréciation des suites à donner à ses contrôles, de la dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes.
Pour le reste, les grandes lignes de la stratégie de contrôle de la CNIL restent inchangées. S’agissant du programme annuel des contrôles, la CNIL nous fait part de trois grandes thématiques cette année :
- Les traitements liés au recrutement
Les acteurs du recrutement traitent de nombreuses données relatives aux candidats et sont amenés à recourir, de plus en plus, à des méthodes fondées sur le « big data » et l’utilisation d’algorithmes d’aide au recrutement. Les contrôles permettront notamment de vérifier les moyens déployés pour l’identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données.
- Les pièces justificatives demandées par les agences immobilières
Plus de deux ans après l’adoption du décret n° 2015-1437 du 5 novembre 2015 renforçant les droits des locataires, il apparaît que ce cadre n’est pas respecté et que de nombreuses pièces complémentaires à la liste fixée par ce texte, telles que des attestations d’absence de crédit en cours ou des dossiers médicaux, sont exigées par les agences immobilières.
Les vérifications opérées auront ainsi vocation à constater cette pratique en portant plus précisément sur la licéité de la collecte, la proportionnalité des données collectées, les durées de conservation et la sécurisation des documents.
- Les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés
Dans le cadre de la réforme des règles de gestion du stationnement payant sur la voie publique, une telle gestion passe des mairies vers les collectivités qui peuvent mettre en œuvre de nouveaux dispositifs visant à améliorer la capacité de contrôle du paiement du stationnement. Parmi ces nouveaux dispositifs, la lecture automatisée de plaques d’immatriculation implique la collecte quasi systématique du numéro de plaque d’immatriculation des véhicules en stationnement associé notamment à des données de géolocalisation.
Le recours à ces nouveaux dispositifs pose ainsi des enjeux en matière informatique et libertés, notamment sur la liberté de circuler anonymement dans l’espace public.
Les contrôles viseront à vérifier le respect des garanties prévues par la loi du 6 janvier 1978 modifiée (pertinence des données, information…).
Sanction de Dailymotion pour atteinte à la sécurité des données
La CNIL a, une fois de plus, par une décision du 24 juillet 2018 prononcée à l’encontre de Dailymotion, condamné un responsable du traitement pour violation de l’article 34 de la loi du 6 janvier 1978, qui impose de préserver la sécurité des données à caractère personnel.
Après avoir eu vent d’un article publié le 6 décembre 2016 sur le site web www.zdnet.com, faisant état d’une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passes d’utilisateurs de Dailymotion, la CNIL a procédé à un contrôle dans les locaux de cette société le 15 décembre 2016.
La société a révélé lors de ce contrôle que la violation de données concernait 82,5 millions d’adresses et 18,3 millions de mots de passe extraits de la base de données de la société, depuis une adresse IP située aux Etats-Unis. Dailymotion a affirmé avoir informé ses utilisateurs de cette violation et renforcé ses mesures de sécurité, suite à celle-ci.
Devant la formation restreinte, pour se défendre, Dailymotion a invoqué le caractère particulièrement sophistiqué de l’attaque, qui a nécessité :
- l’identification d’un bug au sein des lignes de code de la plateforme ;
- la compréhension de l’architecture de la plateforme permettant d’identifier les conditions à l’exploitation du bug ;
- le développement d’un code à même de tirer profit du bug ;
- la capacité de détourner un compte d’administration pour exploiter le bug ;
- la propagation de l’intrusion depuis les serveurs web vers des données tout en masquant son identité réelle par un jeu de rebonds vers des serveurs loués spécifiquement à cette fin.
Selon elle, aucun manquement ne lui est imputable, d’autant plus que l’obligation de préservation de la sécurité des données, visée à l’article 34 de la loi du 6 janvier 1978, constitue une obligation de moyen, et non de résultat.
La CNIL va pourtant relever des manquements :
- D’une part, la présence en clair, au sein du code sources, des identifiants du compte administrateur ayant servi lors de l’attaque. Il était nécessaire, selon la CNIL, de hasher ce mot de passe ou bien de le stocker sur son réseau interne et de l’injecter dans le code source uniquement lors des phases de test.
- D’autre part, il convenait de sécuriser les connexions émanant de collaborateurs amenés à se connecter sur le réseau de l’entreprise, que ce soit par un système de filtrage des adresses IP ou via un réseau privé virtuel (VPN).
La CNIL reconnait que la réussite de l’attaque résulte de la conjonction de plusieurs facteurs, dont certains ne sont pas imputables à la société.
Dailymotion soulève également que le texte de l’article 34 de la loi du 6 janvier 1978 est insuffisamment précis et ne satisfait pas au principe de légalité de délits et des peines.
La CNIL rétorque que le législateur a confié au responsable du traitement le choix des mesures de sécurité à mettre en place pour respecter l’obligation tiré de l’article 34 et que le texte n’est pas prescriptif quant aux mesures à mettre en place dès lors que l’obligation est, in fine, respectée.
La CNIL a finalement condamné Dailymotion à une sanction pécuniaire d’un montant de cinquante mille euros et a également prononcé la publication de sa décision.
Cette décision s’inscrit dans la lignée des autres décisions récemment rendues par la CNIL, qui concernaient quasi systématiquement des atteintes à la sécurité.