La CNIL a rendu deux délibérations mettant en évidence l’actuelle évolution des sanctions qui seront prises en matière de manquement aux obligations de protection des données à caractère personnel.
Les manquements reprochés aux sociétés OUICAR (le site internet d’autopartage) et Hertz France (le loueur de véhicules) sont tous les deux relatifs à l’obligation de sécurité et de confidentialité des données personnelles. Cette obligation incombe à tout responsable de traitement de données personnelles, et est prévue à l’article 34 de la loi « loi informatique et libertés » du 6 janvier 1978.
Sur chacun des deux sites web des sociétés en cause, la CNIL a constaté que des données personnelles des internautes (notamment : identité, coordonnées, numéro de permis de conduire ainsi que données de localisation du véhicule proposé à la location pour le site de OUICAR) étaient devenues librement accessibles sur web, par simple modification dans l’URL de la variable correspondant à l’identifiant de chaque utilisateur.
Toutefois, les faits reprochés à OUICAR semblent à plusieurs égards plus graves que ceux qui l’étaient à Hertz :
- l’accès litigieux aux données personnelles contenues sur le site OUICAR est resté possible durant près de trois années alors que l’accès litigieux au site de Hertz a été constaté et résolu immédiatement ;
- la violation de OUICAR concernait plusieurs centaines de milliers de personnes (l’ensemble des internautes du site) et moins de 35.000 pour le site de Hertz ;
- les manquements de Hertz étaient dus à une erreur commise par l’un de ses sous-traitants lors d’un changement de serveur, alors que l’incident sur le site OUICAR était, selon les termes de la CNIL, « lié à un défaut élémentaire de sécurité ».
Pourtant, là où la négligence de OUICAR a été sanctionnée par le prononcé d’un avertissement public (délibération CNIL du 20 juillet 2017), celle de Hertz lui a valu une sanction pécuniaire d’un montant de 40.000 euros (délibération CNIL du 18 juillet 2017).
Cette différence de traitement par la CNIL tient à l’entrée en vigueur de la loi « pour une République numérique » du 7 octobre 2016, qui élargit le champ d’application des sanctions pécuniaires.
Avant son entrée en vigueur, un manquement à l’obligation de sécurité ne pouvait donner lieu qu’à un avertissement de la part de la CNIL, une telle sanction ayant pour objectif de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles. L’avertissement pouvait être rendu public afin d’en accentuer l’effet punitif, mais il s’agissait là de la sanction maximale.
La loi pour une République numérique a renforcé les sanctions à l’encontre des entreprises qui ne sécurisent pas suffisamment les données personnelles de leurs clients.
Les faits à l’origine de la violation de données sur le site OUICAR ayant été constatés avant l’entrée en vigueur des dispositions concernées de la loi (9 octobre 2016, la CNIL ayant été informée en juillet 2016), seul un avertissement était encouru par la société OUICAR.
Au contraire, les faits de l’affaire Hertz ayant été constatés en octobre 2016, soit après l’entrée en vigueur de la loi « pour une République numérique », une sanction pécuniaire était encourue, dans les limites du nouveau plafond de 3 millions d’euros fixé par la loi.
La société Hertz n’a été sanctionnée qu’à hauteur de 40.000 euros. Dans sa délibération, la CNIL a effet tenu compte de sa réactivité dans la résolution de la violation de données, Hertz ayant alerté son prestataire dès le moment où elle avait été informée du problème. Ont également été prises en considération l’initiative de Hertz de diligenter un audit de sécurité de son prestataire ainsi que sa bonne coopération avec la Commission.
Il convient de rappeler qu’à l’entrée en vigueur, le 25 mai 2018, du Règlement européen 2016/679 sur la protection des données (« RGPD »), les sanctions pécuniaires prononcées par la CNIL pourront atteindre 4% du chiffre d’affaire annuel mondial de l’organisme en cause ou 20 millions d’euros.
En outre, pris en application du RGPD, les faits de l’affaire Hertz auraient engagé la responsabilité à la fois du responsable de traitement et de son sous-traitant, prestataire informatique. Alors que la CNIL ne retient que la responsabilité de Hertz pour une erreur commise par son sous-traitant (« la violation des données résulte d’une négligence de la société dans la surveillance des actions de son sous-traitant »), les articles 26 et 28 du Règlement uniformisent les obligations pesant sur les responsables de traitements et les sous-traitants, instaurant ainsi un régime de coresponsabilité en la matière.
Cette première sanction pécuniaire rendue en application de la loi « pour une République numérique » souligne le renforcement actuel des pouvoirs de sanction de la CNIL. Elle éclaire également sur ce qui adviendra aux responsables de traitement et à leurs prestataires qui ne se seraient pas mis en conformité avec le RGPD après son entrée en vigueur le 25 mai 2018.
Sylvain Staub, Avocat, Staub & Associés