Délibération 2014-298 du 7 août 2014

Commission Nationale de l’Informatique et des Libertés

  • Nature de la délibération : Sanction
  • Etat juridique : En vigueur
  • Date de publication sur Légifrance : Jeudi 28 août 2014
Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société X

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Jean-François CARREZ ;

Et

Composée de M. Alexandre LINDEN, Vice-président, Mme Marie-Hélène MITJAVILE, M. Sébastien HUYGUE et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n°2014-102C du 6 mai 2014 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu la décision n°2014-103C du 6 mai 2014 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société Y ;

Vu les procès-verbaux de contrôle sur place n°2014-102 effectué au sein de la société X le 12 mai 2014 ; n°2014-102/2 effectué au sein de la société Z le 12 mai 2014 et n° 2014-103-1 effectué au sein de la société Y le 14 mai 2014 ;

Vu la décision de la Présidente de la Commission portant désignation d'un rapporteur, en date du 23 mai 2014 ;

Vu le rapport de M. Jean-Luc VIVET, commissaire rapporteur, notifié à la société X adressé par porteur contre reçu le 27 mai 2014 ;

Vu la demande de huis clos datée du 6 juin 2014 à laquelle il a été fait droit par courrier en date du 11 juin 2014 ;

Vu les observations écrites versées par la société X le 26 juin 2014, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;
Vu les autres pièces du dossier ;

Ayant entendu, lors de la séance de la formation restreinte du 03 juillet 2014 :
- M. Jean-Luc VIVET, commissaire, en son rapport ;
- Mme Catherine POZZO DI BORGO, Commissaire du Gouvernement adjoint;
- M. X ;
- Mme Y ;
- M. Z;
- M. XX ;
- Mme YY ;

Les représentants de la société X ayant eu pris la parole en dernier ;
A adopté la décision suivante :

I. FAITS ET PROCEDURE

Le 25 avril 2014, et en application de l'article 34 bis de la loi du 6 janvier 1978 modifiée, la société X (ci-après la société) a notifié à la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission) une violation de données à caractère personnel ayant impacté environ 1.340.000 de ses clients.

Celle-ci est intervenue à la suite d'un dysfonctionnement du serveur du prestataire chargé de réaliser certaines campagnes de marketing direct et a affecté les données relatives aux nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile des clients.

La société X a informé ses clients de cette fuite de données, notamment via son site Internet et par l'envoi de courriels, les incitant à la prudence au regard des tentatives de phishing.

A compter du 5 mai 2014, la presse a repris l'information qui a fait l'objet de nombreux articles.

En application des décisions de la Présidente de la CNIL n°2014-102C et 2014-103C du 6 mai 2014, une délégation a procédé à une mission de contrôle dans les locaux de la société et de ceux de son sous-traitant et de son prestataire secondaire intervenant dans le cadre des campagnes de marketing direct les 12 et 14 mai 2014.

S'agissant de la violation de données personnelles, la délégation a été informée que celle-ci avait été révélée à la société par l'un de ses clients. Le lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société X. Ces fichiers ont été aspirés les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal.

S'agissant des mesures de sécurité, la délégation a relevé que l'application technique permettant la réalisation de campagnes de prospection avait été spécifiquement adaptée par le prestataire secondaire pour répondre aux besoins de la société X. Cette nouvelle version de l'application avait été mise en production en novembre 2013 sans qu'aucun audit de sécurité n'ait été préalablement réalisé.

Il a également été indiqué que la société avait communiqué à ses prestataires, par simple courriel et sans mesure de sécurité particulière, les fichiers de mises à jour de ses données clients et prospects dans la cadre des campagnes marketing.

Enfin, la délégation a constaté que si la société avait encadré contractuellement ses relations avec son premier sous-traitant, elle n'avait en revanche pas veillé à ce que les obligations en matière de sécurité et de confidentialité des données soient répercutées au prestataire secondaire alors même qu'elle connaissait le périmètre d'intervention de ce dernier.

Au regard de ces éléments, la Présidente de la Commission a décidé d'initier une procédure de sanction à l'encontre de la société. A cet effet, elle a désigné M. Jean-Luc VIVET en qualité de commissaire rapporteur, le 23 mai 2014, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à son obligation de sécurité lui incombant en application de l'article 34 de la loi du 6 janvier 1978 modifiée, le rapporteur a notifié à la société, par porteur, le 27 mai 2014, un rapport proposant à la formation restreinte de la Commission de prononcer à son encontre un avertissement public.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 3 juillet 2014 indiquant à la société qu'elle disposait d'un délai d'un mois pour communiquer ses observations écrites.

Le 26 juin 2014, la société a produit des observations écrites sur le rapport, réitérées à l'oral lors de la séance de la formation restreinte du 3 juillet 2014.

A l'issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté la décision dont la teneur suit.

II. MOTIFS DE LA DECISION

La société fait valoir qu'elle a déféré à l'obligation de notification de la violation de données alors même qu'un doute existerait quant à son application en matière d'opérations marketing.

Si cet argument est inopérant au regard de la procédure qui n'est initiée que sur le fondement de l'article 34 de la loi du 6 janvier 1978 modifiée, la formation restreinte entend toutefois rappeler que l'article 34 bis de la loi du 6 janvier 1978 modifiée impose aux fournisseurs de services de communications électroniques d'informer la Commission de toute violation affectant la confidentialité de données nominatives traitées dans le cadre de la fourniture au public des services de communication électroniques .

Dès lors le traitement marketing litigieux, en ce qu'il a précisément pour objet de promouvoir les services de communication électronique de la société auprès des clients et prospects, relève du périmètre de l'article 34 bis susvisé.
La société soutient d'autre part que la procédure de sanction serait fondée sur les éléments qu'elle a communiqués dans le cadre de la notification de cette violation de données et contreviendrait ainsi à son droit de ne pas contribuer à sa propre incrimination.

Sur ce point, la formation restreinte rappelle qu'en application de l'article 44 de la loi du 6 janvier 1978 modifiée, la Commission est fondée à mener des investigations auprès d'un organisme lui ayant notifié une faille de sécurité, par ailleurs largement médiatisée. Si ces dernières révèlent un ou plusieurs manquements à la loi du 6 janvier 1978 précitée, une procédure de sanction peut dès lors valablement être engagée en application de l'article 45 de la loi précitée.

En l'espèce, la procédure de sanction a été initiée sur le fondement des constats relatifs à la sécurité et la confidentialité des données effectués à l'occasion des trois contrôles effectués par la Commission les 12 et 14 mai 2014 susceptibles de caractériser un manquement à l'obligation visée à l'article 34 de la loi du 6 janvier 1978 modifiée et non sur la foi des éléments communiqués par la société au stade de la notification de la violation de données effectuée en application de l'article 34 bis de la loi précitée.

Il est constant que l'obligation de notifier une violation de données, obligation de résultat à laquelle la société a satisfait, est distincte de celle relative à la sécurité et la confidentialité des données, obligation de moyens dont la formation restreinte doit examiner le respect.

La formation restreinte considère en conséquence que la procédure contentieuse a été régulièrement engagée et qu'aucune atteinte au principe de non auto-incrimination ne peut être retenue.

Concernant l'obligation incombant à la société de mettre en œuvre des moyens propres à assurer la sécurité des données de ses clients et notamment des mesures adaptées pour que ces données ne soient pas communiquées à des tiers non autorisés, l'article 34 de la loi du 6 janvier 1978 modifiée dispose que : le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

En défense, la société fait valoir qu'elle aurait pris toute mesure utile afin de respecter son obligation et soutient que la faille de sécurité serait liée aux risques inhérents à une chaine de sous-traitance. Elle relève également que les données impactées par la violation sont peu qualifiantes et limitées au regard du volume global de données traitées. Enfin, elle précise avoir changé de prestataire secondaire et indique qu'une nouvelle plateforme technique comportera les mesures de sécurité techniques et organisationnelles appropriées.

La formation restreinte retient qu'en sa qualité, par ailleurs non contestée, de responsable de traitements, la société a l'obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients et prospects et qu'elle ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires.

S'agissant des données impactées, la formation restreinte retient que, sans être sensibles au sens de la loi du 6 janvier 1978 modifiée, elles sont identifiantes, concernent plus d'un million de personnes et qu'il est établi qu'un tiers non autorisé y a effectivement accédé.

Enfin, il ressort de manière constante des vérifications diligentées par la délégation de contrôle que la société n'a pas fait réaliser d'audit de sécurité sur la version de l'application technique spécifiquement développée par son prestataire secondaire pour répondre à ses besoins, qu'elle communiquait de manière non sécurisée les mises à jour de ses fichiers clients à ses prestataires et qu'aucune clause de sécurité et de confidentialité des données n'était imposée à son prestataire secondaire.

La formation restreinte relève que les mesures mises en œuvre en termes de sécurité des données par la société avant les correctifs apportés à la suite de la violation de données étaient insuffisantes et ont contribué à la réalisation du risque que constitue la récupération, par un tiers malveillant, des données des clients.

Si la société a remédié dans des délais satisfaisants aux faiblesses techniques relevées et a démontré pour l'avenir une meilleure prise en compte des problématiques de confidentialité des données, il n'en demeure pas moins qu'elle a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients.

Sur la base de ces éléments, la formation restreinte retient que la société n'a pas respecté les dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée

III. SUR LA SANCTION ET LA PUBLICITE

La formation restreinte considère que la société a manqué aux obligations lui incombant en application des dispositions susvisées de la loi du 6 janvier 1978 modifiée et décide de prononcer à son encontre un avertissement en application de l'article 45 de la loi n°78-17 du 6 janvier 1978 modifiée.

Compte-tenu des défaillances de la société X en termes de sécurité et de confidentialité des données à caractère personnel de ses clients et prospects alors qu'elle dispose des ressources financières et humaines lui permettant la prise en charge de telles problématiques, la formation restreinte décide de rendre publique sa décision.


PAR CES MOTIFS


La formation restreinte de la CNIL, après en avoir délibéré, décide :
- De prononcer un avertissement à l'encontre de la société X ;
- De rendre publique sa décision sur le site Internet de la CNIL et sur le site Légifrance.


Le Président

Jean-François CARREZ

Retourner en haut de la page