La société S (ci-après la  » société « ) est une société anonyme française qui a pour activité le conseil en systèmes et logiciels informatiques. Elle est un établissement de paiement agréé, qui propose des services de paiements récurrents dans l’espace unique de paiement en euros. Elle propose à ses clients, les  » marchands  » qui sont des personnes morales, des solutions de gestion des abonnements et des paiements récurrents. Dans le cadre des services fournis par la société à ses marchands, les données à caractère personnel traitées sont celles des débiteurs personnes physiques des marchands.

Dans le courant de l’été 2015, à l’occasion d’un projet de recherche interne sur un mécanisme de lutte contre la fraude, la société a réutilisé des données à caractère personnel contenues dans ses bases de données à des fins de test. Elle a ainsi importé des données à caractère personnel de débiteurs sur un serveur. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur ce serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet.

Le 14 février 2020, un des marchands client de la société lui a fait part de ces éléments. La société S a alors immédiatement procédé à l’isolement du serveur et à la mise sous séquestre des données, en vue de mettre fin à la violation de données à caractère personnel.

Le 17 février 2020, la société a notifié la violation de données à la Commission nationale de l’informatique et des libertés (ci-après la  » Commission  » ou la  » CNIL « ). Le 26 février 2020, la société a effectué une notification complémentaire de violation de données à la CNIL, donnant davantage de précisions sur l’incident de sécurité, notamment sur les mesures mises en œuvre par la société, le nombre de personnes et le type de données à caractère personnel concernés par la violation de données.

Les données des débiteurs des marchands, correspondant à environ douze millions de débiteurs uniques, ont été concernées par cette violation. Les données à caractère personnel concernées par la violation sont des données d’état civil (civilité, nom, prénom), des coordonnées postales, électroniques et téléphoniques, et des informations bancaires ( » Bank Identifier Code  » – BIC/  » International Bank Account Number  » – IBAN).

La procédure a abouti à une

Délibération de la Commission nationale de l’informatique et des libertés n°SAN-2021–020 du 28 décembre 2021 concernant la société S (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709) dont nous reprendrons les développements relatifs à la sécurité des données sous l’angle de l’art. 32 RGPD et à l’obligation d’informer les personnes concernées sous l’angle de l’art. 34 RGPD. [Un commentaire de cette décision a été fait par Célian Hirsch : Les données de douze millions de consommateurs en libre accès, 31 janvier 2022 in www.swissprivacy.law/120).]

Dans le cas d’espèce, la société S agit en qualité de sous-traitant pour les traitements mis en œuvre dans le cadre des services fournis aux marchands, responsables de traitement, dans la mesure où la société ne détermine pas les finalités de traitement des données. Ces services constituent l’essentiel de son activité (services de paiements récurrents, mandats , etc.). Par ailleurs que la société S agissait en qualité de responsable du traitement concerné par la violation de données, celui-ci étant en effet un traitement de recherche interne concernant un mécanisme de lutte contre la fraude, dont elle a déterminé seule les finalités et les moyens.

Aux termes de l’article 32 RGPD,

 » 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite […] « .

Il ressort des éléments communiqués à la CNIL que, dans le cadre d’un projet de recherche mené en 2015, S a réutilisé des données à caractère personnel de débiteurs aux fins de test d’un dispositif de lutte contre la fraude. Le projet s’est terminé l’année suivante, en juillet 2016, mais les données sont restées hébergées sur un serveur ne faisant l’objet d’aucune mesure de sécurité particulière. Le 14 février 2020, la société a été avertie par un de ses clients de la possibilité d’accéder librement à ces données depuis Internet au moyen d’une URL simplement composée d’une adresse IP et d’un port de communication, sans autre restriction d’accès ou mesure de sécurité. La société a, le soir-même, procédé à l’isolement du serveur contenant les données à caractère personnel concernées.

Le manquement commis par la société quant à son obligation de sécurité a ainsi débuté en 2015, lorsque les données des clients des marchands ont été importées sur un serveur ne faisant l’objet d’aucune mesure de sécurité, et il a perduré puisqu’il n’a pris fin qu’en février 2020, après que la société a été alertée par l’un de ses clients.  L’accès au serveur en question n’était encadré d’aucune mesure de restriction d’accès satisfaisante et la société n’avait mis en place aucune mesure de journalisation des accès au serveur.

La société S explique notamment que la vulnérabilité du serveur est la conséquence d’une négligence humaine isolée et non d’une carence de son dispositif technique et organisationnel. Elle rappelle que l’obligation générale de sécurité des entreprises doit s’analyser en une obligation de moyens et non de résultat. Elle ajoute qu’elle a mis fin à la violation de données immédiatement après en avoir été informée. Elle indique également que l’exploitation de données conservées dans le serveur nécessitait des connaissances informatiques et l’utilisation d’outils spécifiques, que les données présentes sur le serveur dataient de 2012 à 2013 et que, par conséquent, elles étaient difficilement exploitables par un attaquant. Elle relève enfin que l’adresse IP du serveur n’était pas référencée sur un moteur de recherche.

La CNIL relève que l’accès au serveur en question n’était encadré d’aucune mesure de restriction d’accès satisfaisante dans la mesure où il était possible d’y accéder à partir d’une URL composée d’une adresse IP facilement identifiable à l’aide de programmes de balayage de ports, qui sont disponibles sur le web et souvent utilisés par les attaquants afin de détecter des serveurs non ou mal sécurisés.

De même la société n’avait mis en place aucune mesure de journalisation des accès au serveur, ce qui aurait pourtant permis de détecter les actions effectuées sur le serveur. En effet, la mise en place d’une journalisation des activités, c’est-à-dire un enregistrement des activités dans des  » fichiers journaux  » ou  » logs « , notamment pour les accès aux différents serveurs d’un système d’information, est cruciale en ce qu’elle permet de tracer les activités et de détecter toutes les anomalies ou évènements liés à la sécurité, comme les accès frauduleux et les utilisations abusives de données à caractère personnel. Ainsi, dans ses recommandations de sécurité pour la mise en œuvre d’un système de journalisation, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) relevait que  » les journaux d’évènements constituent une brique technique indispensable à la gestion de la sécurité des systèmes d’information  » dans la mesure où ils peuvent être utilisés  » a priori pour détecter des incidents de sécurité  » et a posteriori pour  » comprendre le cheminement d’une attaque et […] évaluer son impact « .

Les données contenues dans le serveur pouvaient également facilement être lues puisqu’elles étaient conservées dans des formats lisibles au moyen d’un simple éditeur de texte ou d’outils disponibles et bien documentés sur Internet.

Ainsi, l’absence de mise en place de mesure de sécurité protégeant le serveur en cause, notamment de restriction des accès aux seules personnes qui auraient dues être autorisées, a provoqué l’accessibilité des données concernées depuis Internet et ces données étaient aisément lisibles en raison du format dans lequel elles étaient conservées.

L’argument de la société, consistant à dire qu’elle ne serait pas responsable du manquement à ses obligations en matière de sécurité dans la mesure où l’erreur a été commise par […], ne saurait emporter la conviction. Les défauts de sécurité ne résultent pas d’une erreur humaine isolée, mais d’insuffisances répétées, dès lors que la société aurait dû veiller à assurer la sécurité des données en cause à plusieurs étapes. À cet égard, lorsqu’elle a décidé de réutiliser les données pour son projet interne, il lui appartenait de vérifier que le serveur utilisé à ces fins n’était accessible que par les personnes autorisées. La même exigence de surveillance s’imposait a minima à la société lorsqu’elle a achevé son projet de recherche. Aussi, la société ne saurait rejeter la responsabilité de ces insuffisances répétées sur une erreur humaine isolée […], lequel, en tout état de cause, agissait en sa qualité de salarié sur les instructions de la société et pour son compte.

Ensuite, la sécurité d’un système d’information repose sur un ensemble de mesures, techniques et procédurales, et non sur la seule compétence des personnes […]. La mise en œuvre effective de ces mesures techniques et procédurales devant justement pallier les carences humaines. La société aurait ainsi dû prévoir des garde-fous complémentaires. La formation restreinte considère que cette situation reflète un problème organisationnel au sein de la société.

Dès lors, la société S a méconnu son obligation résultant des dispositions de l’article 32 RGPD.

S’agissant de la portée de ce manquement, la violation de données à caractère personnel a compromis les données à caractère personnel de 12 478 819 ressortissants européens.

L’ « (…) absence de preuve d’une utilisation frauduleuse des données est sans incidence sur la caractérisation du manquement à l’obligation de sécurité. En effet, le risque d’utilisation frauduleuse des données à caractère personnel était réel, indépendamment des cas de fraude, dans la mesure où les données de nombreuses personnes ont été rendues accessibles à des tiers non autorisés. L’absence de dommage avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité, qui constitue le manquement à l’article 32 du RGPD. » (N 68)

La CNIL rappelle également que des données d’état civil (civilité, nom, prénom), des coordonnées postales, électroniques et téléphoniques, et des informations bancaires (BIC/IBAN) ont été compromises. Au regard de la nature de ces données à caractère personnel, les personnes concernées par la violation sont exposées au risque d’une réutilisation de leurs données à caractère personnel par des attaquants. En effet, elles encourent le risque que leurs données directement identifiantes fassent l’objet d’un accès illicite, revendues à des tiers et réutilisées dans d’autres schémas d’attaques, notamment l’hameçonnage (ou  » phishing « ), technique consistant à se faire passer pour un organisme officiel (organisme de sécurité sociale, banque, etc.) qui demande par exemple à sa  » proie  » de confirmer ses données bancaires. En outre, ces personnes sont particulièrement exposées à des risques d’usurpation d’identité.

Aux termes de l’article 34 RGPD,

 » 1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie :

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. […] « .

Le considérant 86 du RGPD prévoit que, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique, le responsable du traitement devrait la communiquer à la personne concernée dans les meilleurs délais afin qu’elle puisse prendre les précautions qui s’imposent.

En l’espèce, à la suite de la violation de données, la société S, qui dispose d’une  » procédure de traitement des violations de données personnelles « , a considéré que le risque lié à celle-ci n’était pas élevé pour les personnes concernées et qu’elle ne devait par conséquent pas les informer.

Toutefois, au regard de la nature des données à caractère personnel, du volume de personnes concernées, de la facilité d’identifier les personnes touchées par la violation et des conséquences possibles pour les personnes concernées, le risque associé à la violation peut être considéré comme élevé ; une communication aux personnes concernées aurait dû être faite.

En défense, la société S indique qu’elle a informé à bref délai les marchands pour le compte desquels elle avait collecté les données objet de la violation de données, et qu’ils ont ainsi été mis en mesure, en leur qualité de responsables de traitement, d’informer les personnes concernées s’ils l’estimaient nécessaire. La société précise en outre que, quand bien même le traitement mené à des fins d’amélioration de la lutte contre la fraude était mis en œuvre par S en qualité de responsable de traitement, les données sur la base desquelles le traitement a été réalisé ont été initialement collectées et traitées par S en qualité de sous-traitant pour le compte de ces marchands. Il n’était donc pas possible selon elle d’informer les débiteurs concernés directement sans l’accord de ces marchands.

La société considère en tout état de cause que le format des données et les circonstances entourant la violation de données l’ont amenée à conclure à l’absence de risque élevé pour les personnes concernées au sens de l’article 34 du RGPD, au regard des éléments suivants :

– le format des données ne permettait pas d’appréhender directement la nature, ni le contenu des données ;

– aucune divulgation des données imputable à S n’a été établie ;

– aucune usurpation ou tentative d’usurpation d’identité n’a été rapportée par un débiteur auprès de S ;

– la nature des données ne permettait pas de conclure à un risque élevé de fraude financière ;

– le risque pour une personne concernée paraissait inopérant dans la mesure où tout débiteur dispose de la faculté de s’opposer à un prélèvement indu sans justification pendant huit semaines et jusqu’à treize mois après la transaction avec une justification.

La société rappelle en outre qu’elle ne disposait pas de l’ensemble des adresses de messagerie des personnes concernées. Elle en conclut donc que l’information individuelle des débiteurs se serait révélée impossible pour une large partie d’entre eux. Elle considère par ailleurs qu’une communication publique n’aurait pas été pertinente dans la mesure où ses services étant offerts à des clients professionnels, la majorité des débiteurs concernés n’auraient pas été en mesure de déterminer si leurs données avaient ou non été traitées par elle, intervenant de manière non visible en qualité de prestataire de services de paiement.

La CNIL considère que l’argument invoqué par S pour s’affranchir de sa responsabilité, selon lequel les données sur la base desquelles le traitement a été réalisé ont été initialement collectées et traitées par S en qualité de sous-traitant pour le compte des marchands, ne saurait emporter la conviction. Le fait que les données en question aient été initialement traitées pour une autre finalité pour laquelle la société agit en tant que sous-traitant est sans incidence sur son obligation au titre de l’article 34 du RGPD dans la mesure où elle a réutilisé ces données pour son propre compte, en tant que responsable de traitement.

Par ailleurs au regard de la nature des données à caractère personnel (comportant notamment des informations bancaires), du volume de personnes concernées (plus de 12 millions), de la facilité d’identifier les personnes touchées par la violation à partir des données accessibles et des conséquences possibles pour les personnes concernées (risques d’hameçonnage ou d’usurpation d’identité), le risque associé à la violation devait être considéré comme élevé.

A cela s’ajoute que  l’article 34-3 du RGPD prévoit que la communication aux personnes concernées n’est pas nécessaire dans certains cas, notamment si le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, s’il a pris des mesures ultérieures qui garantissent que le risque élevé pour les personnes n’est plus susceptible de se matérialiser ou si elle exigerait des efforts disproportionnés. La société ne saurait se prévaloir de ces dispositions dans la mesure où elle n’a pas mis en œuvre de mesures de protection appropriées pour assurer la sécurité des données affectées par la violation (afin de limiter leur accès aux seules personnes autorisées). En outre, si la société a fermé le serveur concerné, les données sont restées accessibles entre novembre 2015 et février 2020, soit pendant une très longue période.

S’agissant ensuite de l’argument de la société selon lequel l’information individuelle de l’ensemble des débiteurs aurait nécessité des efforts disproportionnés, la CNIL relève que la société disposait de 6 250 310 adresses de messagerie électronique, soit environ de la moitié des personnes concernées. Elle aurait donc à tout le moins pu informer ces personnes de la violation de données, sans que cela représente un effort disproportionné.

S’agissant de l’argument de la société selon lequel une communication publique sur son site web n’aurait pas été pertinente puisque la majorité des débiteurs concernés n’auraient pas été en mesure de déterminer s’ils avaient eu ou non recours aux services de S, qui intervient de manière opaque en qualité de prestataire de services de paiement, la CNIL relève tout d’abord que le site web de la société comporte les noms de certains de ses clients et que les débiteurs de ces marchands auraient ainsi pu être en mesure de savoir que leurs données étaient potentiellement traitées par S et possiblement concernées par la violation. À cet égard, elle rappelle que toute personne physique peut exercer ses droits prévus par le RGPD auprès de toute société et ainsi obtenir des informations sur la question de savoir si ses données sont ou non traitées par ladite société. En cas de communication publique, les personnes qui le souhaitent auraient donc pu contacter la société afin de savoir si elles étaient concernées par la violation de données. Ensuite, la formation restreinte observe que l’information relative à une violation de données de cette ampleur peut être reprise sur le web (réseaux sociaux, journaux et sites spécialisés, etc.). Une communication publique sur le site web de l’organisme peut ainsi être un point de départ et l’information peut prendre ensuite une dimension bien plus importante.

Compte tenu de ces éléments, la société a méconnu ses obligations au titre de l’article 34 du RGPD, relatif à la communication aux personnes concernées d’une violation de données à caractère personnel.

La formation restreinte de la CNIL, après en avoir délibéré, décide donc de :

– prononcer à l’encontre de la société S une amende administrative d’un montant de 180 000 (cent quatre-vingt mille) euros ;

– rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Appréciation

Pour ce qui est des manquements aux obligations de sécurité, la décision souligne que l’approche du RGPD est fondée sur le risque, et qu’il importe peu qu’il se soit réalisé ou non. Le droit suisse présent et futur (art. 7 LPD ; 8 nLPD) partage ce même point de vue.

Le nouveau droit prévoit (dès 2023) qu’une amende pénale peut sanctionner une violation intentionnelle des « exigences minimales en matière de sécurité des données édictées par le Conseil fédéral » selon l’art. 8 al. 3 nLPD (art. 61 let. c nLPD). Ces « exigences minimales » figurent pour l’instant aux art. 1 à 5 du projet d’ordonnance relative à la loi fédérale sur la protection des données (P-OLPD), dont la procédure de consultation a permis de relever des critiques quant à la précision nécessaire des mesures techniques et organisationnelles dont la violation aurait pour effet de mettre en jeu la responsabilité pénale du maître de traitement.

On peut en tout cas relever que, selon le Conseil fédéral, les exigences de sécurité de la nLPD devraient correspondre à celles découlant du RGPD et être compatibles avec elles (Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif, 23 juin 2021, p. 10), ce qui implique que l’on devrait pouvoir s’inspirer des décisions européennes pour définir et appliquer les exigences minimales en matière de sécurité sous l’angle de la nLPD.

Pour ce qui est du devoir d’information des personnes concernées, l’art. 24 al. 4 nLPD prévoit que le responsable de traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le Préposé fédéral à la protection des données et à la transparence (PFPDT) l’exige. La violation de ce devoir d’information des personnes concernées n’est assortie d’aucune sanction pénale, mais exposerait le responsable de traitement à des prétentions civiles dans la mesure où des dommages résulteraient de cette non information, et donc du fait que les intéressés n’auraient pas pu prendre les mesures de défense nécessaire (changer les mots de passe par exemple.)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)