Par une délibération en date du 19 juillet 2017[1], la CNIL a sanctionné la société Hertz au paiement d’une amende de 40 000 € pour violation de données personnelles. Cette décision mérite une attention particulière car elle permet de souligner l’importance de bien encadrer juridiquement la relation avec les sous-traitants auxquels l’on confie la gestion de traitements de données personnelles.

Les faits

La société Hertz France a créé en 2011 un programme permettant de proposer des réductions sur les locations de véhicules. Ce programme passait par la réalisation d’un site internet, www.cartereduction-hertz.com (ci-après le « Site »), confiée à un éditeur externe, sous-traitant de Hertz.

Le 15 octobre 2016, le site www.zataz.com informe la CNIL de l’existence d’une faille de sécurité sur le Site. Cette faille permettrait de donner accès aux données personnelles de pas moins de 40 000 clients de la société Hertz France. La CNIL opère alors un contrôle en ligne le jour même, et accède aux données de 35 327 personnes. Ces données étaient notamment les nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire. Informée par la CNIL de cette faille, la société Hertz a pris contact avec son sous-traitant qui a mis en place les correctifs. Le sous-traitant a expliqué à la CNIL que la faille était due à la suppression involontaire d’une ligne de code au moment du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. La CNIL, s’étant rendue chez la société Hertz le 28 octobre 2016, a pu constater que la violation des données avait cessé.

Un contrôle chez le sous-traitant en novembre 2016 permet à ce dernier de préciser qu’il avait mis en place les correctifs quelques heures seulement après avoir été informé par Hertz. Par ailleurs, une analyse des journaux d’accès du serveur a permis de constater l’absence de téléchargement massif des données.

Responsabilité de Hertz

La CNIL rappelle l’article 34 de loi Informatique et Libertés selon lequel « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Hertz, qui a évidemment pu présenter ses arguments, a fait valoir la rapidité de sa réaction lorsqu’elle a été informée de la violation, et de la rapidité de son sous-traitant qui a installé les correctifs moins de quatre heures après le signalement de la CNIL. De surcroit, aucune fuite massive de données n’a été constatée, et aucun client ayant un compte sur le Site ne s’est plaint d’une divulgation de ses données. Enfin, la société Hertz précise que le contrat qui la liait à son sous-traitant contenait une « clause spécifique à la protection des données à caractère personnel ». La violation serait donc de la responsabilité du sous-traitant et non de la société Hertz.

Pour autant, la CNIL considère qu’il y a bien, en l’espèce, une responsabilité de la société Hertz qui a failli dans la surveillance des activités de son sous-traitant.

En premier lieu, lors de la création du site, la CNIL relève que la société Hertz n’avait imposé aucun cahier des charges à son sous-traitant. Ce cahier des charges aurait pu permettre de préciser notamment les développements relatifs à la sécurité des données.

En second lieu, la CNIL considère que la société Hertz aurait dû contrôler l’opération de modification des serveurs qui a été la cause de la suppression d’une partie du code. Etant donné que ces serveurs étaient ceux permettant de communiquer avec le prestataire de paiement, l’opération était sensible et Hertz aurait dû s’assurer que la mise en production du site avait été précédée d’un protocole complet de test permettant de garantir l’absence de vulnérabilité.

Ces différents points justifient pour la CNIL la responsabilité de la société Hertz.

Cette analyse est particulièrement intéressante car permet de mettre en exergue l’importance pour un responsable du traitement de rester en contact continu avec son sous-traitant et de superviser les opérations sensibles qu’il réalise pour son compte. Une simple clause dans un contrat ne peut suffire pour se dégager de toute responsabilité, même si elle peut permettre dans un second temps de mettre en jeu la responsabilité contractuelle du sous-traitant. En revanche, le contrat doit prévoir des possibilités pour le responsable du traitement de contrôler les opérations menées par son sous-traitant, doit imposer des mesures de sécurité et rendre possible la réalisation d’audits.

Sanction et publicité

La CNIL, bien que caractérisant la responsabilité de Hertz, souligne la rapidité de la réaction du responsable du traitement et du sous-traitant, le fait qu’il n’y ait pas eu d’extraction massive des données et que Hertz ait collaboré avec la CNIL. Elle lui inflige malgré tout une amende de 40 000 euros.

De plus, la CNIL décide de rendre publique cette délibération. La justification de cette publicité est intéressante la CNIL prenant en considération « le contexte actuel dans lequel se multiplient les incidents de sécurité ». On retrouve ici la volonté de la CNIL de faire de la pédagogie, mais cette fois-ci par l’exemple, en montrant que ce type de négligence ne restera pas impuni. A noter aussi que c’est la première fois que la CNIL prononce une sanction pécuniaire pour une violation de données. Ceci lui est permis depuis novembre 2016 grâce à la loi sur une République numérique, alors qu’auparavant seul un avertissement aurait pu être décidé dans un tel cas comme le précise la CNIL sur son site internet.

Cette délibération montre donc que la CNIL souhaite utiliser les nouvelles prérogatives dont elle dispose et veut faire savoir qu’elle n’hésitera pas à sanctionner. Cette délibération sonne ainsi comme un sérieux avertissement, quand on sait qu’à compter de mai 2018, les sanctions pourront aller jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaires mondiales.

***

Hertz est sanctionné pour violation de l’article 34 de la loi Informatique et Libertés pour ne pas avoir suffisamment encadré le travail réalisé par un sous-traitant cette insuffisance ayant mené à une violation de données personnelles.

Le RGPD qui entre en vigueur dans moins d’un an impose, à son article 28, des obligations précises lorsqu’un responsable de traitement noue une relation avec un sous-traitant. La première d’entre elles est de veiller à ce que ce sous-traitant présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Par ailleurs, le Règlement encadre les contrats passés par un responsable avec son sous-traitant. Ces contrats devront notamment préciser la finalité des traitements, leur nature, la durée de conservation, encadrer les actions réalisés par les sous-traitants en précisant une obligation de collaboration avec le responsable ainsi qu’une obligation d’information en cas de faille.

Un vrai travail de réécriture des contrats et de contrôle des procédures des sous-traitants est donc à mener sans tarder par tout responsable de traitement.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] Délibération n°SAN-2017-010 du 18 juillet 2017.