Articles

Un responsable de traitement sanctionné pour une faille sur un module développé par un sous-traitant

Une nouvelle délibération[1] de la CNIL permet de souligner l’importance de veiller à la sécurité des données lorsque l’on en confie le traitement, totalement ou partiellement, à un sous-traitant.

La société sanctionnée, Darty, utilisait un logiciel développé par la société EPTICA pour sa gestion des demandes de service après-vente. Informée par un éditeur de site internet spécialisé dans la sécurité des systèmes d’information d’une violation de données à caractère personnel, la CNIL a réalisé un contrôle en ligne le 2 mars 2017, puis un contrôle sur place le 15 mars 2017. Elle a pu observer à cette occasion que l’URL à partir de laquelle les clients peuvent déposer leur demande de service après-vente permettait d’accéder très facilement à 912 938 fiches, en modifiant simplement le numéro d’identifiant présent dans l’URL. Les données accessibles sur ces fiches sont les noms, prénoms, adresse postale et électronique ainsi que les commandes effectuées.

Cette délibération permet de faire un rappel de la différence entre responsable de traitement et sous-traitant et de mettre une nouvelle fois en lumière l’importance pour le responsable de traitement de veiller scrupuleusement sur les traitements confiés au sous-traitant.

I- Définition du responsable de traitement

Est responsable de traitement, selon l’article 3 de la loi Informatique et Libertés modifiée, « (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Darty a fait valoir qu’elle n’avait jamais demandé la création de l’URL viciée à son sous-traitant. Ce développement n’apparaît d’ailleurs pas dans le cahier des charges de la mission confiée au sous-traitant. Darty indiquait de plus ne jamais utiliser cette URL car elle disposait de son propre formulaire de collecte sur son site internet.

Ainsi, pour Darty, c’était le sous-traitant seul qui avait déterminé les moyens du traitement, en créant cette URL ainsi que tout le contenu du formulaire de collecte qui n’était pas personnalisable par Darty. Partant, le sous-traitant devrait être considéré, pour Darty, comme responsable de traitement.

La CNIL n’a pas suivi ce raisonnement. En effet, Darty et son sous-traitant s’étaient mis d’accord sur des moyens de traitement même si la création de l’URL mise en cause n’en faisait pas partie. Le seul fait qu’EPITCA ait ajouté un moyen de traitement non défini au contrat n’est pas un caractère suffisant pour considérer cette société comme responsable de traitement. Par son développement sur l’identification du responsable de traitement, la CNIL montre surtout qu’entre la détermination des finalités et des moyens, la détermination des finalités est décisive dans la qualification du responsable de traitement.

Or, concernant la détermination des finalités, le rôle de Darty est très clair. Quels que soient les moyens de traitement utilisés, ils se rattachent tous à un seul et même traitement, celui des données à caractère personnel des clients de Darty et avec une seule finalité, le suivi des demandes de service après-vente adressées à Darty. Le sous-traitant ne pourrait être lui-même responsable de traitement ou coresponsable que s’il traitait les données pour son compte ou pour d’autres finalités que celles définies par la société Darty. Mais ceci n’est pas le cas en l’espèce.

Pour la CNIL, Darty agit donc bien en tant que responsable de traitement. L’ajout d’un moyen de traitement sans que Darty ne l’ait demandé n’est pas suffisant pour inverser les rôles. Darty est donc tenue au respect des articles 34 et 35 de la loi de janvier 1978 modifiée, et donc d’assurer la sécurité des données dont le traitement est confié au sous-traitant.

II – Le responsable de traitement a violé l’obligation de sécurité prévue par les articles 34 et 35 de la loi du 6 janvier 1978 modifiée

Darty étant responsable de traitement, il lui revient d’assurer la sécurité des données personnelles qu’elle traite ou dont elle confie le traitement.

La violation des données personnelles étant liée à un développement non demandé au sous-traitant,  la question se posait de savoir si la responsabilité de Darty pouvait être engagée. La jurisprudence est néanmoins très claire sur ce point : « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte »[2]. Quand bien même certains développements n’avaient pas été demandés par Darty, cette dernière, en tant que responsable de traitement, devait vérifier que l’ensemble des développements réalisés par le sous-traitant permettait d’assurer la sécurité des données comme l’y oblige l’article 35 de loi du 6 janvier 1978 modifiée. Et si certains modules étaient considérés comme inutiles, Darty aurait dû les faire désactiver.

La CNIL relève par ailleurs que Darty a choisi un logiciel standard pour son besoin relatif au service après-vente. Or, la CNIL rappelle que lorsqu’un responsable de traitement a recours à un logiciel standard, il lui revient d’en vérifier la sécurité et les caractéristiques. Le défaut de sécurité en l’espèce étant facilement détectable, la CNIL considère que Darty n’a pas respecté cette obligation. La CNIL en profite pour rappeler à tous les responsables de traitement qui liront la délibération, que la bonne pratique en matière de sécurité est de vérifier « de façon régulière » les formulaires accessibles et permettant la collecte de données personnelles. La CNIL rappelle également une autre bonne pratique, qui revient à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». On peut relever que la CNIL ne s’arrête pas aux modules non utilisés mais va plus loin avec les modules qui ne seraient pas nécessaires. Ce faisant, la CNIL intègre le privacy by default, principe qui devient obligatoire le 25 mai 2018 avec l’entrée en application du RGPD et qui oblige les responsables de traitement à créer ou utiliser des outils de traitements qui ne réalisent par défaut que des traitements de données nécessaires et qui garantissant le plus haut niveau de protection. En laissant le module alors qu’il n’était pas nécessaire, en plus de violer l’article 34 sur la sécurité, Darty n’a pas respecté le privacy by default.

Enfin, la CNIL considère que Darty n’a pas veillé suffisamment à ce que, une fois signalée, la faille soit réparée au plus tôt. Darty a été informée de la violation par la CNIL le 6 mars. Elle a informé son prestataire le jour même. Mais la réparation n’a été effective que le 15 mars, à l’issue du second contrôle de la CNIL. Ce délai de 9 jours est trop long pour la CNIL. Darty aurait dû réaliser un suivi régulier de la résolution du litige alors qu’elle ne s’est tenue informée qu’une seule fois pendant ce délai de neuf jours. On comprend de la délibération que le suivi régulier, au regard de la faille, aurait dû être un suivi quotidien.

Mais malgré ce délai de réparation trop long, la CNIL relève que Darty a réagi rapidement en informant son sous-traitant le jour même et que la violation a cessé « dans un délai raisonnable ». Par ailleurs, la CNIL voit d’un bon œil l’audit que Darty a réalisé en août 2017 sur le nouvel outil de gestion. La mise en œuvre de cette bonne pratique tend en effet à montrer que Darty a bien intégré ce qui a pu lui être reproché.

La CNIL condamne donc Darty, en tenant compte de l’ensemble des circonstances, à une amende « proportionnée » d’un montant de 100 000 euros. Elle a par ailleurs souhaité la publication de sa décision « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».

Au regard de cette décision deux points semblent pouvoir être soulignés. La rigueur de la CNIL tout d’abord dans le contrôle de la relation responsable de traitement/sous-traitant. Le responsable de traitement aura bien du mal à se protéger derrière l’action d’un sous-traitant dès lors que les finalités du traitement concerné par la violation sont des finalités gérées pour le compte du responsable. Même si le sous-traitant n’a pas respecté le cahier des charges, le responsable de traitement est mis en cause car il lui revient de veiller à l’ensemble des mesures mises en place par le sous-traitant pour son compte. On ne saurait donc trop conseiller à tout responsable de traitement de prévoir au sein des contrats les liant avec leurs sous-traitants une clause d’audit permettant de s’assurer que la sécurité des données est respectée. Avec le RGPD, si la responsabilité du sous-traitant pourra plus facilement être engagée, cela ne dédouanera pas nécessairement le responsable de traitement qui pourra se voir infliger une sanction bien supérieure à 100 000 euros.

Le second point à souligner concerne justement le montant de la sanction. Après Hertz condamné à 40 000 euros cet été, également pour une faute d’un sous-traitant, les 100 000 euros de condamnation de Darty apparaissent comme une mise en garde pour les responsables de traitement. Alors que Darty a réagi dans un délai inférieur à 10 jours, que les données objet de la violation n’étaient pas des données sensibles, et que la CNIL souligne la bonne collaboration de Darty, elle inflige néanmoins une amende somme toute assez élevée, proche de l’ancien montant maximum de 150 000 euros (mais éloigné du montant maximum actuel qui est de 3 millions d’euros). Tout comme la publication de la décision permet de sensibiliser les personnes concernées, ce montant est un avertissement pour les responsables de traitement. La CNIL n’hésitera pas, progressivement, à sanctionner de plus en plus fortement une violation de données. Pour mémoire, à compter du 25 mai 2018, l’amende pourra atteindre, selon les cas, 10 ou 20 millions d’euros, 2% ou 4% du chiffre d’affaires annuel.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] CE, 11 mars 2015, Sté Total raffinage marketing et société X.

[2] Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société Etablissements Darty et Fils

Lire la suite

/ Virtualegis

Sous-traitance et données personnelles : le RT ne peut s’exonérer de sa responsabilité par une simple clause contractuelle

Par une délibération en date du 19 juillet 2017[1], la CNIL a sanctionné la société Hertz au paiement d’une amende de 40 000 € pour violation de données personnelles. Cette décision mérite une attention particulière car elle permet de souligner l’importance de bien encadrer juridiquement la relation avec les sous-traitants auxquels l’on confie la gestion de traitements de données personnelles.

Les faits

La société Hertz France a créé en 2011 un programme permettant de proposer des réductions sur les locations de véhicules. Ce programme passait par la réalisation d’un site internet, www.cartereduction-hertz.com (ci-après le « Site »), confiée à un éditeur externe, sous-traitant de Hertz.

Le 15 octobre 2016, le site www.zataz.com informe la CNIL de l’existence d’une faille de sécurité sur le Site. Cette faille permettrait de donner accès aux données personnelles de pas moins de 40 000 clients de la société Hertz France. La CNIL opère alors un contrôle en ligne le jour même, et accède aux données de 35 327 personnes. Ces données étaient notamment les nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire. Informée par la CNIL de cette faille, la société Hertz a pris contact avec son sous-traitant qui a mis en place les correctifs. Le sous-traitant a expliqué à la CNIL que la faille était due à la suppression involontaire d’une ligne de code au moment du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. La CNIL, s’étant rendue chez la société Hertz le 28 octobre 2016, a pu constater que la violation des données avait cessé.

Un contrôle chez le sous-traitant en novembre 2016 permet à ce dernier de préciser qu’il avait mis en place les correctifs quelques heures seulement après avoir été informé par Hertz. Par ailleurs, une analyse des journaux d’accès du serveur a permis de constater l’absence de téléchargement massif des données.

Responsabilité de Hertz

La CNIL rappelle l’article 34 de loi Informatique et Libertés selon lequel « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Hertz, qui a évidemment pu présenter ses arguments, a fait valoir la rapidité de sa réaction lorsqu’elle a été informée de la violation, et de la rapidité de son sous-traitant qui a installé les correctifs moins de quatre heures après le signalement de la CNIL. De surcroit, aucune fuite massive de données n’a été constatée, et aucun client ayant un compte sur le Site ne s’est plaint d’une divulgation de ses données. Enfin, la société Hertz précise que le contrat qui la liait à son sous-traitant contenait une « clause spécifique à la protection des données à caractère personnel ». La violation serait donc de la responsabilité du sous-traitant et non de la société Hertz.

Pour autant, la CNIL considère qu’il y a bien, en l’espèce, une responsabilité de la société Hertz qui a failli dans la surveillance des activités de son sous-traitant.

En premier lieu, lors de la création du site, la CNIL relève que la société Hertz n’avait imposé aucun cahier des charges à son sous-traitant. Ce cahier des charges aurait pu permettre de préciser notamment les développements relatifs à la sécurité des données.

En second lieu, la CNIL considère que la société Hertz aurait dû contrôler l’opération de modification des serveurs qui a été la cause de la suppression d’une partie du code. Etant donné que ces serveurs étaient ceux permettant de communiquer avec le prestataire de paiement, l’opération était sensible et Hertz aurait dû s’assurer que la mise en production du site avait été précédée d’un protocole complet de test permettant de garantir l’absence de vulnérabilité.

Ces différents points justifient pour la CNIL la responsabilité de la société Hertz.

Cette analyse est particulièrement intéressante car permet de mettre en exergue l’importance pour un responsable du traitement de rester en contact continu avec son sous-traitant et de superviser les opérations sensibles qu’il réalise pour son compte. Une simple clause dans un contrat ne peut suffire pour se dégager de toute responsabilité, même si elle peut permettre dans un second temps de mettre en jeu la responsabilité contractuelle du sous-traitant. En revanche, le contrat doit prévoir des possibilités pour le responsable du traitement de contrôler les opérations menées par son sous-traitant, doit imposer des mesures de sécurité et rendre possible la réalisation d’audits.

Sanction et publicité

La CNIL, bien que caractérisant la responsabilité de Hertz, souligne la rapidité de la réaction du responsable du traitement et du sous-traitant, le fait qu’il n’y ait pas eu d’extraction massive des données et que Hertz ait collaboré avec la CNIL. Elle lui inflige malgré tout une amende de 40 000 euros.

De plus, la CNIL décide de rendre publique cette délibération. La justification de cette publicité est intéressante la CNIL prenant en considération « le contexte actuel dans lequel se multiplient les incidents de sécurité ». On retrouve ici la volonté de la CNIL de faire de la pédagogie, mais cette fois-ci par l’exemple, en montrant que ce type de négligence ne restera pas impuni. A noter aussi que c’est la première fois que la CNIL prononce une sanction pécuniaire pour une violation de données. Ceci lui est permis depuis novembre 2016 grâce à la loi sur une République numérique, alors qu’auparavant seul un avertissement aurait pu être décidé dans un tel cas comme le précise la CNIL sur son site internet.

Cette délibération montre donc que la CNIL souhaite utiliser les nouvelles prérogatives dont elle dispose et veut faire savoir qu’elle n’hésitera pas à sanctionner. Cette délibération sonne ainsi comme un sérieux avertissement, quand on sait qu’à compter de mai 2018, les sanctions pourront aller jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaires mondiales.

***

Hertz est sanctionné pour violation de l’article 34 de la loi Informatique et Libertés pour ne pas avoir suffisamment encadré le travail réalisé par un sous-traitant cette insuffisance ayant mené à une violation de données personnelles.

Le RGPD qui entre en vigueur dans moins d’un an impose, à son article 28, des obligations précises lorsqu’un responsable de traitement noue une relation avec un sous-traitant. La première d’entre elles est de veiller à ce que ce sous-traitant présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Par ailleurs, le Règlement encadre les contrats passés par un responsable avec son sous-traitant. Ces contrats devront notamment préciser la finalité des traitements, leur nature, la durée de conservation, encadrer les actions réalisés par les sous-traitants en précisant une obligation de collaboration avec le responsable ainsi qu’une obligation d’information en cas de faille.

Un vrai travail de réécriture des contrats et de contrôle des procédures des sous-traitants est donc à mener sans tarder par tout responsable de traitement.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] Délibération n°SAN-2017-010 du 18 juillet 2017.

Lire la suite

/ Virtualegis