I____ (ci-après  » l’organisme  » ou  » le groupement « ), dont le siège social est situé _____ à Vincennes (94300), est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce de France qui édite depuis 1986 le service de diffusion de l’information légale et officielle sur les entreprises à travers plusieurs canaux, notamment le site web  » ­­­­_____.fr  » depuis 1996.

Le site web  » ____.fr  » permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Les utilisateurs souhaitant visualiser ou commander un acte payant sur le site web doivent obligatoirement disposer d’un compte et sont désignés par I____ comme étant des  » membres « . Il est également possible pour les utilisateurs de souscrire un abonnement annuel, permettant notamment aux  » abonnés  » d’accéder à certains services dans la rubrique de consultations d’affaires. Lors de la création d’un compte, membre ou abonné, l’utilisateur doit remplir les champs obligatoires suivants : nom, prénom, adresses postale et électronique, téléphone fixe ou portable et choix d’une question secrète et de sa réponse. Les données bancaires des abonnés (IBAN et BIC) sont également traitées par I____.

Le 12 décembre 2020, la Commission nationale de l’informatique et des libertés (ci-après  » la CNIL  » ou  » la Commission « ) a été saisie d’une plainte à l’encontre de l’organisme, d’une personne indiquant que le site web  » ____.fr  » conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.

En application de la décision n° 2021-032C du 6 janvier 2021 de la présidente de la CNIL, une mission de contrôle a été réalisée afin de vérifier la conformité de tout traitement accessible à partir du domaine  » ____.fr « , ou portant sur des données à caractère personnel collectées à partir de ce dernier (…).

Sur le manquement à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement en application de l’article 5, paragraphe 1, e) du RGPD

Aux termes de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans le cadre du contrôle, la délégation a constaté que la  » Charte de confidentialité  » du site web  » ____.fr  » prévoit que les données à caractère personnel des membres et des abonnés sont conservées 36 mois à compter de la dernière commande de prestation et/ou documents.

Toutefois, l’organisme a fourni à la délégation de la CNIL un fichier de tableur dont il ressort qu’au 1er mai 2021, il conservait les données à caractère personnel de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture pour les abonnés, date de plus de 36 mois, sans que l’organisme soit en mesure de justifier d’un contact récent avec lesdits membres ou abonnés.

Le rapporteur relève qu’aucune procédure de suppression automatique des données à caractère personnel n’a été mise en place par l’organisme et que les données étaient conservées pour des durées excessives par rapport à leur finalité et la propre politique fixée par l’organisme.

En défense, l’organisme admet que des données à caractère personnel ont été conservées plus longtemps que la durée indiquée au sein de sa Charte mais conteste le fait que la durée indiquée dans cette Charte soit prise comme seule référence alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois. S’agissant de l’anonymisation des données à caractère personnel, l’organisme admet que 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés. Il admet également le retard pris dans l’automatisation de l’anonymisation mais conteste le fait qu’il n’y ait eu aucune anonymisation des comptes.

En premier lieu, la formation restreinte relève que la finalité relative aux opérations de recouvrement, citée par l’organisme, et la durée de conservation afférente ne pourraient a priori concerner que les données des abonnés et non des membres, ces derniers payant immédiatement en échange de la réception d’un acte. En outre, la formation restreinte relève que, pour cette finalité comme pour les finalités comptables et fiscales, l’organisme n’avait pas identifié ces finalités et les durées correspondantes dans sa Charte de confidentialité à la date du contrôle. En tout état de cause, la formation restreinte relève que si la conservation de certaines données pour ces finalités peut apparaître justifiée, elle requiert que différentes actions soient réalisées. Ainsi, la formation restreinte rappelle qu’une fois la finalité du traitement atteinte, la conservation de certaines données pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses est possible, mais les données doivent être alors placées en archivage intermédiaire, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Seules les données pertinentes doivent être placées en archivage intermédiaire, soit dans une base de données d’archive dédiée, soit en effectuant une séparation logique au sein de la base active, permettant que seules les personnes habilitées puissent y accéder. La formation restreinte relève qu’au jour du contrôle, aucune de ces actions n’était mise en œuvre par l’organisme.

En second lieu, la formation restreinte relève que l’anonymisation manuelle mise en œuvre par l’organisme sur demande des utilisateurs ne concernait qu’une très faible quantité de compte puisqu’au jour du contrôle en ligne, 25% des comptes n’étaient pas anonymisés alors qu’ils auraient dû l’être. La formation restreinte relève qu’aucune procédure d’anonymisation automatique n’était mise en œuvre au jour du contrôle en ligne, l’organisme conservant ainsi des données identifiantes sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs.

Dès lors, la formation restreinte considère que les faits précités constituent un manquement structurel à l’article 5, paragraphe 1, e) du RGPD.

Sur les manquements à l’obligation d’assurer la sécurité des données à caractère personnel (article 32 RGPD).

L’article 32 du RGPD prévoit que  » 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. « 

Le rapporteur relève, en premier lieu, que la délégation a constaté que les mots de passe de connexion des utilisateurs à leurs comptes, accessibles depuis le site web de l’organisme, sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. En outre, le rapporteur relève qu’au jour des constats, il était impossible pour l’ensemble des utilisateurs ou des abonnés du site web  » ____.fr « , soit pour plus de 3,7 millions de comptes, de saisir un mot de passe sécurisé en raison de la limitation de leur taille à 8 caractères maximum.

Le rapporteur relève, en deuxième lieu, que l’organisme transmet en clair par courriel des mots de passe non temporaires permettant l’accès aux comptes.

Le rapporteur souligne, en troisième lieu, que l’organisme conserve également en clair dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs.

En dernier lieu, le rapporteur relève que l’organisme ne confirme pas non plus à l’utilisateur la modification de son mot de passe. Le rapporteur considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée, n’est donc à ce titre pas protégé contre les tentatives d’usurpation de son compte.

Au regard de ces éléments, le rapporteur considère que les différentes mesures de sécurité mises en place par l’organisme sont insuffisantes au regard de l’article 32 du RGPD.

En défense, l’organisme fait valoir que l’obligation de sécurité est une obligation de moyens qui doit être appréciée in concreto et que son inexécution doit être constatée par un constat de l’inefficacité des mesures mises en œuvre, ayant conduit à un accès non autorisé, ce qui n’est pas le cas en l’espèce. Il souligne que la recommandation relative aux mots de passe évoquée par le rapporteur constitue du droit souple, qu’il ne s’agit pas de règles impératives, applicables in abstracto, indépendamment de tout contexte et dont le non-respect serait, en lui-même, de nature à justifier une sanction administrative. En outre, l’organisme précise que l’analyse d’impact relative à la protection des données a révélé un risque faible pour les données à caractère personnel en cas d’accès non autorisé puisque pour les comptes membres, représentant la majorité des comptes, les données bancaires ne sont pas enregistrées, contrairement aux comptes abonnés et qu’un tiers non autorisé ne pourra effectuer d’autres démarches que l’achat de documents et l’envoi de formalités à la place du titulaire du compte. Enfin, l’organisme souligne que les informations accessibles en se connectant sur le compte d’un utilisateur sont pour l’essentiel des données à caractère personnel présentes dans les extraits K ou KBIS et les autres actes pouvant être commandés, sauf pour les comptes créés par des non-professionnels dont les données d’identification et de localisation ne sont pas publiques.

Tout d’abord, la formation restreinte rappelle que, en application de l’article 32 du RGPD, pour assurer la protection des données à caractère personnel, il incombe au responsable de traitement de prendre des  » mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque « . La formation restreinte considère que l’utilisation d’un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire, peut conduire à des attaques par des tiers non autorisés, telles que des attaques par  » force brute  » ou  » par dictionnaire « , qui consistent à tester successivement et de façon systématique de nombreux mots de passe et conduisent, ainsi, à une compromission des comptes associés et des données à caractère personnel qu’ils contiennent. Elle relève, à cet égard, que la nécessité d’un mot de passe fort est recommandée tant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) que par la Commission dans sa délibération n° 2017-012 du 19 janvier 2017. En l’espèce, la formation restreinte relève que les mots de passe en cause sont limités à huit caractères sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. La formation restreinte considère que le risque encouru par les personnes concernées est réel : un tiers ayant eu accès au mot de passe pourrait non seulement accéder à toutes les données à caractère personnel présentes dans le compte de la personne concernée, mais également consulter l’historique de ses commandes, télécharger ses factures et/ou changer le mot de passe du compte et les informations de contact à l’insu de l’utilisateur.

En outre, la formation restreinte considère que les modalités de transmission et de conservation des mots de passe mises en œuvre par l’organisme ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers. En effet, la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. La formation restreinte rappelle qu’une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. Enfin, la formation restreinte considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée n’est donc pas protégé contre les tentatives d’usurpation de son compte.

Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.

Ensuite, la formation restreinte précise que si la délibération n° 2017-012 du 19 janvier 2017, le guide de la CNIL relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe cités dans les écrits du rapporteur n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art. Dès lors, la formation restreinte rappelle qu’elle retient un manquement aux obligations découlant de l’article 32 du RGPD et non du non-respect des recommandations, qui constituent au demeurant un éclairage pertinent pour évaluer les risques et l’état de l’art en matière de sécurité des données à caractère personnel.

Outre ces recommandations, la formation restreinte souligne qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires où la caractérisation d’un manquement à l’article 32 du RGPD est le résultat de mesures insuffisantes pour garantir la sécurité des données traités, et non pas seulement le résultat de l’existence d’une violation de données à caractère personnel. Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte.

Dans ces conditions, eu égard aux risques encourus par les personnes, rappelés ci-dessus, ainsi qu’au volume et à la nature des données à caractère personnel qui peuvent être contenues dans plus de 3,7 millions de comptes (données bancaires des comptes abonnés, nom, prénom, adresse postale et électronique, numéros de téléphone fixe ou portable, question secrète et sa réponse de l’ensemble des comptes), la formation restreinte considère que l’organisme a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD.

(CNIL, Délibération SAN-2022-018 du 8 septembre 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)