En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
Conscio_Bannière

Juridique – Données personnelles : la Cnil, aujourd’hui moins clémente, sanctionne pécuniairement Hertz France

Jalios_Digital Summit 2017_pave

C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation de données sous l’empire de la loi du 7 octobre 2016 pour une République numérique. Avocats au cabinet KGA Avocats, Laurent Badiane, associé du département IP/IT, et Virginie Delannoy, département droit public, nous livrent en exclusivité leur analyse. 

Par une délibération du 18 juillet 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 40 000 euros à l’encontre de la société Hertz France pour manquement à son obligation de sécurité des données dans le cadre d’une relation de sous-traitance[1].

C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation de données sous l’empire de la loi du 7 octobre 2016 pour une République numérique, entrée en vigueur, pour les dispositions appliquées en l’espèce par la CNIL, le 9 octobre 2016 (soit le lendemain du jour de la publication de la loi pour une République numérique)[2]. Avant cette loi, en l’absence de mise en demeure, seul un avertissement pouvait être décidé dans une telle hypothèse[3] (voir §. 2 ci-dessous).

Avant cette loi, en l’absence de mise en demeure, seul un avertissement pouvait être décidé dans une telle hypothèse

Cette décision est l’occasion d’insister sur la nécessité d’encadrer contractuellement la relation entre le responsable de traitement et son sous-traitant (1).  Elle permet, en outre, d’éclairer la façon dont la CNIL applique les dispositions de la loi pour une République numérique renforçant son pouvoir de sanction (2).

Rappel des faits

Dans le cadre de ses activités, la société Hertz France a créé en 2011 un programme proposant des réductions sur les locations de véhicules pour lequel le site web www.cartereduction-hertz.com a été conçu (ci-après, le « Site »).

Le 15 octobre 2016, l’éditeur du site web www.zataz.com a informé les services de la CNIL que le traitement de données à caractère personnel accessible à partir de l’URL http://www.cartereduction-hertz.com/create_carte_cb.aspx permettrait une violation des données de plus de 40 000 clients de la société Herzt France.

Le 21 octobre 2016, une mission de vérification en ligne a été opérée sur le Site par les services de la CNIL. Il a été constaté qu’en ajoutant à cette adresse URL la chaîne de caractères cartcb_id= et un numéro correspondant à un identifiant, les pages affichées faisaient apparaitre les données à caractère personnel renseignées par les personnes ayant adhéré au programme de réduction, notamment leurs nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire. Les services de la CNIL ont ainsi pu accéder aux données à caractère personnel de 35 327 personnes.

A l’issue du contrôle, la CNIL a pris contact avec la société Hertz France pour l’informer de l’existence d’une violation de données à caractère personnel sur le Site.

Le 28 octobre 2016, la CNIL a effectué un second contrôle. La société Hertz France a informé la CNIL du fait que le développement du Site avait été confié à un sous-traitant. La société Hertz France a indiqué en outre que dès qu’elle a été prévenue par la CNIL de l’existence de la violation de données, elle en a immédiatement alerté son sous-traitant qui a mis en place les correctifs nécessaires.

Ce dernier lui a mentionné que la violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. A l’occasion de ce contrôle, la CNIL a pu constater que la violation de données avait cessé.

Le 16 novembre 2016, la CNIL a effectué une mission de contrôle dans les locaux du sous-traitant de la société Hertz France. Celui-ci a indiqué à la CNIL qu’aucun cahier des charges spécifique à la mise en œuvre du Site ne lui avait été imposé par la société Hertz France.

Le sous-traitant a confirmé à la CNIL que la violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs, causant le réaffichage du formulaire contenant l’ensemble des données à caractère personnel renseignées par les personnes s’inscrivant au programme de réduction.

Le sous-traitant a également précisé qu’il avait procédé à la mise en production des modifications nécessaires quelques heures après avoir été alerté par la société Hertz France, qui a fait procéder à un audit de sécurité sur les traitements mis en œuvre pour son compte par son sous-traitant.

Le sous-traitant a également précisé qu’il avait procédé à la mise en production des modifications nécessaires quelques heures après avoir été alerté par la société Hertz France.

(1)   La nécessité d’encadrer contractuellement la relation entre le responsable de traitement et le sous-traitant 

La CNIL rappelle que l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que :

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

La société Hertz France, qui ne conteste pas la violation de données personne portée à sa connaissance par la CNIL, rappelle qu’elle en a immédiatement informé son sous-traitant et que ce dernier a mis en œuvre les correctifs adéquats moins de quatre heures après le signalement de l’incident par la CNIL.

La société Hertz France a tenté de s’exonérer de sa responsabilité en imputant les manquements à son sous-traitant. Elle explique en substance :

–          qu’elle a spontanément décidé de faire procéder à un audit de sécurité de son prestataire, qu’elle l’a communiqué à la CNIL ;

–          qu’à l’issue de cet audit, son sous-traitant avait déjà déployé plusieurs recommandations préconisées par le rapport ;

–          le contrat conclu avec son sous-traitant contenait une clause spécifique à la protection des données à caractère personnel et que la survenance de la violation de données est la conséquence d’une erreur commise par celui-ci.

La CNIL retient néanmoins que la violation de données résulte d’une négligence de la société Hertz France dans la surveillance des actions de son sous-traitant?

Elle note tout d’abord que la société Hertz France n’a imposé aucun cahier des charges à son prestataire s’agissant du développement du Site.

La CNIL relève ensuite que l’opération de changement de serveur, à l’origine de la violation de données, concernait les serveurs permettant de communiquer avec le prestataire de paiement et constituait donc une opération délicate requérant une attention particulière.

Selon la CNIL, la société Hertz France aurait dû s’assurer, à la suite de cette opération, que la mise en production du Site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité.

La CNIL retient néanmoins que la violation de données résulte d’une négligence de la société Hertz France dans la surveillance des actions de son sous-traitant

La CNIL en conclut donc que la société Hertz France en sa qualité de responsable de traitement n’avait pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

Cette décision permet d’insister, avec l’application imminente du Règlement général sur la protection des données (ci-après le « RGPD »), sur (i) la nécessité d’encadrer contractuellement la relation entre le responsable de traitement et son sous-traitant dans le cadre de projet informatique impliquant la gestion de traitement de données péronnelles, et (ii) l’importance d’instaurer en interne des procédures de notification des incidents de sécurité aux autorités de régulation compétentes[4].

L’article 28 du RGPD précise les obligations à respecter dans le cadre d’une relation de sous-traitance. Tout d’abord, le responsable doit faire « uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du [présent] règlement et garantisse la protection des droits de la personne concernée ».

Ensuite, le traitement de données par un sous-traitant pour le compte du responsable de traitement doit être régi par un contrat qui lie le sous-traitant à l’égard du responsable de traitement.

Ce contrat doit énoncer les obligations mises à la charge du sous-traitant, qui pourra dorénavant être tenu responsable de ses manquements au titre de la protection des données (les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement). Ce contrat détermine également la nature et la finalité du traitement, l’objet et la durée de conservation des données, le type de données, les catégories des personnes concernées.

En pratique, il est donc recommandé au responsable de traitement de[5] :

  • choisir un prestataire qui présente des garanties suffisance en matière de sécurité ;
  • conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles ;
  • définir précisément ses exigences techniques notamment au moyen d’un cahier des charges ou d’annexes au contrat ;
  • de prévoir contractuellement la possibilité d’auditer le prestataire afin de s’assurer du respect par ce dernier de ses obligations au titre du contrat et de la réglementation applicable.

Les nouvelles exigences du RGPD en matière de sous-­traitance auront des conséquences sur les contrats de prestation de services ou d’externalisation qui impliquent le traitement de données à caractère personnel. Il est recommandé d’auditer les contrats existants afin de déterminer dans quelles mesures ils devront être modifiés afin d’être conformes au RGPD.

 

(2)  Une sanction à valeur d’exemple ?

La CNIL a ici fait usage des nouveaux pouvoirs qu’elle tient à la fois de l’article 44-III de la loi n° 78-17 du 6 janvier de 1978, introduit par la loi Hamon (n° 2014-344 du 17 mars 2014 relative à la consommation), l’autorisant à procéder directement à des contrôles en ligne et des articles 45-I et 47 modifiés par la loi pour une République numérique permettant que soit prononcée une sanction pécuniaire d’un montant maximal de 3 millions d’euros à l’encontre du contrevenant sans mise en demeure préalable.

Le dispositif du contrôle en ligne, très innovant en matière de pouvoir d’enquête des autorités administratives indépendantes[6], permet aux agents de la CNIL d’utiliser des preuves recueillies en ligne sans avoir à les confirmer par des contrôles sur place ou par constat d’huissier.  En l’espèce, les données personnelles, « rendues accessibles » par la négligence du sous-traitant, pouvaient donc bien faire l’objet du contrôle en ligne et le seul fait qu’elles aient été librement accessibles constituait le cœur de l’infraction sanctionnée par la CNIL.

Le seul fait que les données personnelles aient été librement accessibles constituait le cœur de l’infraction sanctionnée par la CNIL

Compte tenu de la date du constat, le 21 octobre 2016, les nouvelles dispositions issues de l’article 64 de la loi pour une République numérique étaient applicables. Celles-ci autorisent la CNIL à prononcer directement une sanction pécuniaire à l’encontre du contrevenant lorsque « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ». Dans sa rédaction antérieure, l’article 45-I de la loi de 1978 prévoyait une seule sanction d’application immédiate (sans le filtre de la mise en demeure) : l’avertissement.  Le prononcé des autres sanctions nécessitait une mise en demeure préalable non suivie d’effet. C’est ce qui explique la différence de traitement entre les sociétés Hertz France et Ouicar (délibérations de la CNIL publiées à deux jours d’écart) poursuivies pour les mêmes manquements : la première se voit infliger une sanction pécuniaire alors que la seconde ne reçoit qu’un avertissement.  Dans ce dernier cas, les faits avaient été constatés par la CNIL en juillet 2016 et il y avait été remédié avant la publication de la loi pour une République numérique.

L’on peut, néanmoins, s’interroger sur l’application faite ici par la CNIL de la nouvelle dérogation l’autorisant à prononcer directement une sanction pécuniaire lorsque « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ». Cette rédaction invite à une appréciation objective de l’impossibilité de mise en conformité dans le cadre d’une mise en demeure : cette impossibilité échapperait au pouvoir ou à la volonté du contrevenant ou résulterait de la nature même du manquement.  Or, en l’espèce, l’impossibilité était subjective : il n’était pas possible pour la société Hertz France de se mettre en conformité dans le cadre d’une mise en demeure, tout simplement parce que dès qu’elle avait été avertie par la CNIL de la faille de sécurité, elle y avait remédié.

C’est donc à une interprétation large du texte que procède la CNIL qui pourrait s’expliquer par la nature du manquement[7] : la faille de sécurité résulte souvent d’une négligence, d’une erreur dépourvue d’intention.  Dès que le manquement est signalé, le contrevenant mettra généralement tout en œuvre pour y remédier, rendant inutile toute mise en demeure. Or, le manquement a bien eu lieu : la CNIL devrait-elle ne pas sanctionner au seul motif que le manquement a disparu ? Les nouvelles dispositions, telles qu’elles sont ici mises en œuvre par la CNIL, sont donc moins clémentes que les textes antérieurs.  Le contrevenant peut faire l’objet d’une sanction alors même qu’il a remédié au manquement en dehors de toute mise en demeure.

Les nouvelles dispositions, telles qu’elles sont ici mises en œuvre par la CNIL, sont donc moins clémentes que les textes antérieurs.

Dans ce cas, la sanction prononcée a valeur d’exemplarité : il s’agit de sanctionner le manquement même s’il résulte d’une négligence du contrevenant et même si celui-ci a immédiatement mis en œuvre les mesures propres à y remédier.

La sanction prononcée contre la société Hertz France est donc exemplaire dans son principe même – ce qui explique que la CNIL en ait ordonné la publication.  Elle l’est moins dans son quantum (40.000 €) puisque la CNIL fait une application très classique en matière de sanction administrative, du principe de proportionnalité de la peine aux circonstances de fait.  A cet égard, l’article 47 de la loi de 1978 précise les circonstances qui doivent être prises en compte par la CNIL dans son appréciation du montant de la sanction[8]. La délibération commentée est particulièrement circonstanciée sur ce point : caractérisation de la négligence de la société Hertz France puis mise en balance avec son comportement une fois que son manquement lui a été révélé.

Si la délibération commentée illustre de manière exemplaire le renforcement du pouvoir de sanction de la CNIL, dans le contexte de l’entrée en vigueur du RGPD, l’on notera qu’il est presque préférable pour le contrevenant de faire l’objet d’une mise en demeure préalable et de s’y conformer puisque dans ce cas, le président de la CNIL doit prononcer la clôture de la procédure et la formation restreinte ne peut plus sanctionner le manquement.

 

[1] Délibération de la formation restreinte n° SAN-2017-010 du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ FRANCE

[2] Articles 64 et 65 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique

[3] Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR

[4] L’article 33 du RGPD généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.

[5] Recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services de Cloud computing

[6] Qui a d’ailleurs largement inspiré la rédaction du denier alinéa de l’article L. 32-4-II du code des postes et des communications électroniques autorisant également l’Autorité de régulation des communications électroniques et des postes (ARCEP) à procéder à des contrôles en ligne.

[7] Ou, plus prosaïquement, par l’imminence de l’entrée en vigueur du RGPD ?

[8] « Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission. Le montant de la sanction ne peut excéder 3 millions d’euros ».

Juridique – Données personnelles : la Cnil, aujourd’hui moins clémente, sanctionne pécuniairement Hertz France

Laisser un commentaire

Réussir son projet collaboratif-14 novembre

Jalios Digital Summit, une journée qui vous donnera toutes les clés pour réussir votre projet collaboratif, le 14 novembre 2017 au Centre de Conférences Cœur Défense

Inscription

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Focus sur le Délégué à la Protection de Données : Qui ? Pourquoi faire ? Quelles responsabilités ?

    Laurent Badiane, avocat associé, et Charlotte de Dreuzy, avocate du département IP/IT du cabinet KGA Avocats,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert - La préoccupation d’Amazon n'est pas de savoir ce qu'il souhaite vendre à ses clients

    Jean-Paul Crenn, fondateur de Webcolibri, cabinet conseil en e-commerce et transformation digitale, démontre que la…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : une charge pour l'IT et la sécurité, mais pas que...

    Les entreprises se sont-elles mises au diapason des nouvelles règles européennes de sécurité et de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Le paiement en 2050 et au-delà

    > Voir le livre
elo_processus pointe_skyscraper