Dans son dernier rapport d’activité, la CNIL revient sur l’obligation de sécurité qui pèse sur les administrations et les entreprises et rappelle que celle-ci « a été renforcée par le RGPD et complétée de nouveaux outils comme la notification des violations, l’analyse d’impact sur la protection des données ou les codes de conduite ».
La CNIL souligne, d’ailleurs, que la sécurité est un point systématiquement vérifié lors de procédures de contrôle, que ce soit sur le respect des principes de base mais aussi sur la mise en place des nouveaux outils de conformité, notamment l’exigence d’un registre des violations de données.
La CNIL rappelle également que les manquements à l’obligation de sécurité figurent parmi les manquements les plus couramment constatés et précise que « 2/3 des sanctions depuis 2017 incluent un manquement à la sécurité, et plus de 40 % des sanctions sont prises sur ce seul fondement ».
Il est à noter que la majorité de sanctions prononcées en 2019 étaient fondées sur un manquement à l’obligation de sécurité (voir notre article « Rapport d’activité 2019 de la CNIL : focus sur les mises en demeure et sanctions »).
S’agissant de leur montant, celui-ci oscille entre 15 000 et 400 000 euros et concernent des défaillances sur des points élémentaires de sécurité, à savoir :
- Données librement accessibles par modification des URL
- Politique de mot de passe non-conforme
- Transmission de mots de passe en clair
- Transmission de mots de passe par une connexion non-chiffrée (http)
- Absence de verrouillage automatique des sessions de poste de travail
- Un défaut de protocole de test afin de garantir l’absence de vulnérabilité avant la mise en production d’un nouveau développement
La CNIL annonce comme objectif pour l’année 2020, l’amélioration du niveau minimal de sécurité des entreprises qui traitent des données à caractère personnel.
