GDPR : Que faut-il retenir des décisions 2018 de la CNIL?

Introduction

En 2018, la Commission nationale de l’informatique et des libertés (CNIL), l’autorité de contrôle française de protection des données à caractère personnel, a rendu public neuf décisions. Nous proposons ici de les parcourir rapidement et d’en retirer, pour vous, les points centraux.

D’emblée, il nous semble important de noter l’importance accordée par la CNIL à une bonne coopération avec ses services et ce tout en n’oubliant pas que les amendes qu’elle peut prononcer en tant que régulateur peuvent être salées.

Tous les secteurs de l’économie concernés

La CNIL, créée en 1978, veille à la bonne application en France de la législation en matière de protection des données personnelles. La CNIL est une autorité administrative réellement indépendante dont les guidances, les avis et les décisions sont scrutés partout en Europe et dans le monde. Elle exerce un rôle prépondérant en la matière.

Les sanctions financières sont prononcées par sa formation restreinte. Celle-ci est composée de 5 membres et d’un Président distinct du Président de la CNIL. Rappelons qu’avec le Règlement général sur la protection des données (RGPD), le montant des sanctions pécuniaires peut s’élever dorénavant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions pécuniaires peuvent être rendues publiques, ce qui est d’autant plus dommageable pour les sociétés qui font très attention à leur réputation en ligne.

Les neuf décisions de la CNIL qui ont été rendues publiques en 2018 ne l’ont pas été en tenant compte des règles du RGPD. La première décision « RGPD » de la CNIL date du 21 janvier 2019 et vise Google pour un montant de 50 millions d’euros d’amende. Elle fera l’objet d’une étude distincte.

Les sociétés concernées par les décisions de 2018 sont des sociétés très réputées comme DARTY, DailyMotion, Uber ou Bouygues Telecom mais aussi des associations moins connues mais traitant pourtant des quantités considérables de données personnelles.

Des points de droit clarifiés par le régulateur

Les dossiers concernent principalement des failles de sécurité mais également des traitements illicites réalisés par la société ou l’association concernée. La lecture des décisions nous permet d’appréhender un peu plus les attentes et la jurisprudence de la CNIL en matière de protection des données personnelles et dès lors d’anticiper ou de valider celles d’autres autorités administratives nationales en Europe.

Retenons les précisions suivantes :

1. la CNIL peut agir soit d’initiative, soit après une dénonciation, une mise en garde voire une déclaration de sinistre de l’auteur du traitement lui-même. Afin de préparer sa décision et de vérifier les dires de l’entité incriminée (gare aux mensonges dès lors), la CNIL se rend souvent dans les locaux des entreprises concernées ;
2. une société se doit de protéger au mieux les données de ses clients ou utilisateurs. La loi ne précise pas les mesures à prendre. Toutefois, à la lecture des décisions, il ressort qu’empêcher la prévisibilité des adresses URL (il s’agit ici d’empêcher d’accéder aux documents d’un autre client de la société à partir d’une modification de l’URL d’accès) ou mettre en place la double authentification font partie des mesures de base attendues par la CNIL. En effet, ces mesures essentielles empêchent de pouvoir facilement s’engouffrer dans les banques de données de la société ou de l’association par des failles habituelles pour les développeurs ;
3. lorsque la société permet à son personnel de se connecter à distance au réseau informatique, elle se doit d’encadrer ces connexions par un système de filtrages des adresses IP ou un réseau privé virtuel (VPN) ;
4. le simple fait que la société/association fasse appel à un sous-traitant ne la décharge aucunement de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement ;
5. les sociétés doivent, avant de permettre au public d’utiliser leurs outils informatiques, s’assurer que leurs logiciels ne comportent aucune faille qui permettrait à des tiers d’accéder illégalement aux données de leurs clients. Elles doivent donc réaliser préalablement à une potentielle utilisation et, par après, régulièrement de nombreux tests en matière de sécurité informatique (des audits de sécurité). Ces tests doivent concerner l’ensemble de leurs banques de données et être le plus complets possible ;
6. une bonne pratique en matière de sécurité des systèmes informatiques consiste aussi à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas/plus utilisés ou pas/plus nécessaires ;
7. la CNIL rappelle qu’il est interdit d’utiliser les données personnelles pour des finalités incompatibles avec celles pour lesquelles les données ont été collectées. Le dossier concernait une association, gestionnaire d’immeubles, qui avait envoyé un document contenant des informations politiques aux locataires de ses immeubles sans leur consentement préalable ;
8. les décisions mettent en lumière que, souvent, les hackers utilisent des attaques sophistiquées. Toutefois, ces attaques ne peuvent être réalisées que parce que la société a commis, au début de la chaîne, une erreur consistant par exemple à laisser une information publique (par exemple en clair sur la plateforme collaborative de développement « Github ») ou à ne pas révoquer des accès à des anciens collaborateurs ;
9. en septembre 2018, la CNIL sanctionne une société qui traitait les données biométriques de ses employés à des fins de contrôle de leur horaire alors que ces traitements sont soumis à autorisation préalable de la CNIL. La même société est également sanctionnée pour avoir installé un dispositif d’enregistrement des appels téléphoniques sans que les salariés et les interlocuteurs n’en soient informés et car les postes de travail des travailleurs n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique.
10. les décisions insistent aussi sur la rapidité d’intervention de l’entité après qu’elle ait été prévenue par la CNIL. La société se doit de très rapidement corriger la faille de sécurité en contactant si nécessaire son ou ses sous-traitants.

Des amendes de plus en plus importantes

Le total des amendes prononcées par la CNIL se monte à 1.195.000 EUR et trois amendes sont supérieures au montant maximum qui était encore d’application il y a peu (150.000 EUR).

La CNIL n’hésite donc pas à se montrer sévère. A bon entendeur…