CNIL : Délibération n°SAN-2018-002 du 7 mai 2018 :
La délibération de la formation restreinte de la Cnil condamnant la société Optical Center à une amende de 250 000 euros (Délib. n° SAN-2018-002 du 7 mai 2018 ; Ch. Galichet, Amende record pour un site e-commerce, Dalloz IP/IT 2018, p.564), rendue avant l’entrée en vigueur du RGPD, sur le fondement de l’article 34 de la loi du 6 janvier 1978, permet de mesurer le niveau des exigences de sécurité attendues des sites internet, eu égard à l’état de l’art en la matière (V. égal. Cnil, Guide de la sécurité des données personnelles, 23 janvier 2018).
En l’espèce, une faille de sécurité permettait à n’importe quel client, « sans aucune compétence technique particulière », d’accéder aux commandes en cours et passées, aux avoirs ainsi qu’aux factures des autres clients, et ainsi à des données présentant non seulement un caractère personnel, mais relevant aussi de la qualification de données « sensibles » (données de santé ou NIR des personnes concernées).
Il suffisait pour cela de modifier le paramètre id relatif à l’identifiant de la facture consultée, qui apparaissait lisiblement sur l’URL affichée dans la barre d’adresse du navigateur.
Cette faille aurait perduré pendant 7 mois avant que la société n’en ait connaissance, et aurait potentiellement porté sur un nombre très important de données puisque la base de données du site internet comportait plus de 300 000 documents.
La Cnil reproche à la société de n’avoir « pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées ».
D’une part, la Cnil estime que la société aurait dû mettre en place une restriction d’accès aux documents mis à disposition des clients, en intégrant une fonctionnalité subordonnant cet accès à l’authentification des clients sur leur espace personnel.
Elle considère qu’il s’agit là « de mesures élémentaires de sécurité » qui auraient dû être prises préalablement à la mise en œuvre de cette nouvelle fonctionnalité du site internet de ladite société.
D’ailleurs, la seule modification du code source du site a permis de remédier à cette faille.
D’autre part, elle considère que des audits de sécurité auraient dû être réalisés en amont et en aval de la mise en production du site internet.
Or, elle observe qu’aucun « protocole complet de test » n’a été mis en place en amont, qu’aucune procédure ne décrivait les tests à mettre en œuvre lors d’une mise en production d’une mise à jour du site et qu’aucun procès-verbal de recette n’était établi à cette occasion.
Elle relève également que, même après l’incident, la société n’établit pas avoir réalisé un audit de son site internet, pas plus qu’un audit du code source dudit site.
Enfin, elle relève que « le caractère informel des échanges qui interviennent entre la société et son prestataire a rendu, en l’espèce, plus difficile le suivi, par le responsable de traitement, des actions entreprises par son prestataire, des correctifs apportés par ce dernier ainsi que des recommandations qui pourraient être formulées ».
C’est l’occasion de rappeler que le responsable de traitement doit auditer son sous-traitant afin de s’assurer qu’il respecte bien ses obligations en matière de protection des données à caractère personnel.
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 07/01/2019
