Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés.
D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés).
Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Elle avait alors procédé à un contrôle sur place et constaté que certaines informations concernant les clients étaient librement accessibles sur internet via un moteur de recherche et « pouvaient être directement consultées depuis un ordinateur connecté au réseau » sans manipulation ou compétence technique particulière.
Parmi ces informations, certaines, qualifiées par la formation restreinte de la Cnil d’« intimes », portaient sur les motifs de demande de relivraison des colis au titre desquels pouvaient par exemple être mentionnées certaines raisons de santé … De surcroît, étaient aussi accessibles des informations relatives à la sécurisation des accès aux logements des clients.
La formation restreinte de la Cnil, après avoir constaté que le manquement à l’obligation de sécurité des données avait pour origine un défaut de conception du design de l’application, en a finalement déduit que la responsabilité incombait en tout état de cause à DHL en sa qualité de responsable de traitement et ce, quelle qu’en soit l’origine réelle.
En outre, et après avoir tout de même relevé que la société s’était, dès la réalisation du contrôle, montrée diligente pour limiter l’effet du défaut de sécurisation de l’application, la formation restreinte de la Cnil précise que, bien que l’obligation de sécurité des données ne soit pas une obligation de résultat, DHL ne pouvait « trouver à s’exonérer de sa responsabilité quant à l’existence d’un défaut de sécurité dont il apparaît qu’il existe depuis un temps indéterminé et qui n’a été mis en évidence que par l’action de la Cnil alors que la société déclarait connaître un autre défaut de sécurité affectant la même application ».
Par ailleurs, au titre du manquement à l’obligation de définir une durée de conservation des données en adéquation avec la finalité pour laquelle celles-ci sont collectées, il avait été relevé lors du contrôle réalisé par la Cnil que certaines des informations accessibles dataient de 2007. La formation restreinte précise à cet égard que la durée de conservation observée n’était dès lors pas justifiée et excédait les nécessités de réalisation du traitement quand bien même la société s’était engagée pour l’avenir à ne conserver les données que pour une durée de 1 mois.
C’est ainsi que la formation restreinte de la Cnil a prononcé un avertissement à l’encontre de la société et, de surcroît, a décidé de le rendre public « au regard du nombre de personnes concernées » et de « la nature des données accessibles sans restriction ».
Cette décision met une fois encore l’accent sur l’importance que la Cnil attache à la sécurité des données et sur la volonté de la formation restreinte d’accroître la publicité de ses décisions d’avertissements et de sanctions de manière générale. Bien que cette initiative poursuive principalement une finalité pédagogique et d’information au public, elle peut aussi s’avérer porter un préjudice grave à l’image d’une entité.
Ainsi, cette décision de la formation restreinte doit être l’occasion pour les responsables de traitement d’effectuer un audit de leurs pratiques en la matière afin de s’assurer de la conformité de leurs traitements de données aux dispositions applicables en matière de protection des données à caractère personnel.
Une attention particulière devra être portée sur l’obligation de confidentialité et de sécurité des données qui pèse sur les responsables de traitements et ce d’autant que la Cnil dispose désormais, depuis la loi du 17 mars 2014, de la possibilité d’effectuer des contrôles en ligne dans le cadre de son pouvoir d’investigation.
Ses agents sont dorénavant autorisés dans ce cadre et notamment pour constater des manquements à l’obligation de sécurité des données, à consulter les données librement accessibles ou rendues accessibles via internet, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitements automatisés de données le temps nécessaire à leurs constatations.
Alain Bensoussan
Pauline Binelli-Waintrop
Lexing Droit Informatique et libertés