Délibération de la CNIL du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ FRANCE

Ce qui vient de se passer au cœur de l’été avec la Délibération de la formation restreinte n° SAN-2017-010 du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ FRANCE est plein d’enseignements pour l’avenir.

 https://www.legifrance.gouv.fr/telecharger_rtf.do?idTexte=CNILTEXT000035276047&origine=cnil

 En octobre 2016, la CNIL a été informée de l’existence d’un incident de sécurité ayant entrainé une violation de données personnelles sur le site « www.cartereduction-hertz.com ». Lors d’un contrôle en ligne elle a constaté que les mesures garantissant la sécurité et la confidentialité des données des adhérents au programme de réduction de la société étaient insuffisantes. En effet, les agents de la CNIL ont pu accéder librement, à partir d’une adresse URL, aux données personnelles renseignées par 35 357 personnes inscrites sur le site « www.cartereduction-hertz.com » (identité, coordonnées, numéro de permis de conduire). Prévenue le jour même par la CNIL, la société a alerté son sous-traitant en charge du développement du site, qui a immédiatement pris les mesures nécessaires permettant de mettre fin à la violation de données. Au cours d’investigations complémentaires réalisées dans les locaux de la société et chez son sous-traitant, la CNIL a appris que la violation de données était la conséquence d’une erreur commise par le prestataire lors d’une opération de changement de serveur. La suppression accidentelle d’une ligne de code avait entrainé le réaffichage des formulaires remplis par les adhérents au programme de réduction.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société Hertz France. La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 40.000 euros, estimant que la société avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission.

C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016 qui prévoit une sanction pécuniaire maximum de 3.000.000 €. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas et à partir du 25 mai 2018, sous l’empire du Règlement Européen, ce seront dans ce cas soit une pénalité de 10.000.000 €, soit 2% du CA mondial de l’entreprise condamnée.

Ce qu’il faut retenir

  1. Sur le déclenchement de l’action

C’est dans le cadre du protocole d’alerte Zataz (voir http://www.zataz.com/protocole-alerte-zataz/ ) que la CNIL a été informée de la faille de sécurité. On peut s’interroger sur la licéité du procédé de dénonciation d’autant que rien ne permet d’affirmer que cette faille de sécurité ait entrainé une violation de données personnelles, aucun client Hertz ne s’étant manifesté. C’est d’ailleurs un point soulevé par le site d’autopartage Ouicar qui recevait de la part de la CNIL un simple avertissement public du fait de faille de sécurité constatée antérieurement à la date de mise en application de la loi Lemaire. OuiCar soulevait que l’alerte donnée par Zataz.com « avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs d’alerte » (délibération de la formation restreinte de la CNIL datant du 20 juillet 2017). Un argument balayé par la Commission, mais qui mérite néanmoins que l’on s’interroge, en particulier dans un contexte européen, voire mondial.

  1. Sur la constatation de la violation de données personnelles

C’est par un contrôle en ligne que la CNIL a constaté que les mesures garantissant la sécurité et la confidentialité des données des adhérents au programme de réduction de la société étaient insuffisantes. Comme nous le disions plus haut, rien ne permet d’affirmer que cette faille de sécurité ait entrainé ou aurait pu entrainer une violation de données personnelles avérée. En effet, il apparait que sur la base des informations de Zataz, ce sont les agents de la CNIL qui ont pu accéder librement, à partir d’une adresse URL, aux données personnelles renseignées par 35.357 personnes inscrites sur le site « www.cartereduction-hertz.com » (identité, coordonnées, numéro de permis de conduire). C’est la loi n° 2014-344 du 17 mars 2014 modifiant la loi Informatique et Libertés qui a donné à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés (article 105 modifiant le III de l’article 44 de la loi n° 78-17 du 6 janvier 1978). Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur sont opposables. Cette modification crée les conditions juridiques qui permettent d’adapter le pouvoir d’investigation de la CNIL au développement numérique. Elle lui offre l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. La Commission peut ainsi rapidement constater et agir en cas de failles de sécurité sur internet. Elle peut aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique. Ce nouveau pouvoir s’applique aux « données librement accessibles ou rendues accessibles » en ligne ; il ne donne pas la possibilité à la CNIL de forcer les mesures de sécurité mises en place pour pénétrer dans un système d’information, mais ne l’empêche pas d’exploiter les informations des « lanceurs d’alertes ».

  1. Sur la fixation du montant de la sanction pécuniaire

Sous l’empire de la Loi Lemaire le rôle de dissuasion des pouvoirs de la Cnil a été renforcé puisque les montants maximums des sanctions pécuniaires, sur le fondement de l’article 45 I 2° de la loi du 6 janvier 1978, ont été significativement revus à la hausse. En effet, l’amende peut désormais s’élever jusqu’à 3 millions d’euros, ce qui représente une multiplication par dix du plafond antérieur. Les critères d’appréciation pouvant être pris en compte pour évaluer le montant de cette amende, qui doit être « proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement » ont, en outre, été détaillé pour permettre à la Cnil de prononcer une sanction plus juste et éclairée. La formation restreinte prend ainsi notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Ceci préfigure les dispositions prévues dans le Règlement Européen qui dispose dans son article 83 les conditions générales pour imposer des amendes administratives afin qu’elles soient dans chaque cas, effectives, proportionnées et dissuasives.

En d’autres termes, comme cela apparait dans la décision de la formation restreinte, la CNIL a tenu compte de la réactivité de la société Hertz dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission. A un moment où les entreprises et les collectivités entament les 250 derniers jours les séparant de la mise en application du Règlement, on ne saurait trop insister sur l’importance de la gestion de crise, qui sera en outre renforcée par les obligations de notifications de violation de sécurité. On observe trop souvent que le sujet a été dirigé vers les Directions Juridiques en attribuant les fonctions de DPO au CIL en place, sans nécessairement prendre toute la mesure de l’importance de cette gestion de crise qui ne s’improvise pas le jour d’après.

  1. Sur la question de l’assurabilité

La question de l’assurabilité est double. La première question est relative à l’effectivité de la garantie d’assurance cyber si l’assureur subordonne son indemnisation à la réalité d’une violation de données à caractère personnel subie par les titulaires des données faisant l’objet d’un traitement par l’Assuré. Selon la manière dont le texte de garantie est rédigé, c’est-à-dire selon que le fait générateur de la garantie sera une violation de données à caractère personnel consécutive à un incident de sécurité, ou que le fait générateur sera la condamnation par une Autorité de Contrôle, les conditions de l’indemnisation pourraient en être changées.

La seconde question est relative à l’assurabilité de cette sanction pécuniaire administrative. Au regard des faits exposés, il n’apparaît pas qu’aient été mises en œuvre des poursuites fondées sur l’article 226-17 du Code pénal qui sanctionne le défaut de sécurité visé à l’article 34 de la loi Informatique et Libertés, ayant servi de base à la sanction administrative de la CNIL. Dans ce contexte, on pourrait considérer cette sanction pécuniaire assurable en se fondant sur le fait qu’elle n’a pas donné lieu à une sanction pénale et que l’interdiction d’assurance en raison de la contrariété à l’ordre public de l’article 6 du code civil ne trouverait pas à s’appliquer.

 

En conclusion (provisoire)

En tout état de cause, le paysage réglementaire de la protection des données à caractère personnel est en train de changer en France et en Europe, et la CNIL y prend une part de plus en plus active et déterminée. Et il serait temps de comprendre que le Règlement impose principalement d’identifier et d’évaluer les risques qui peuvent peser sur les droits et libertés des individus concernés par les traitements informatiques, puis à sélectionner les mesures adéquates pour ramener ces risques à un niveau acceptable pour l’individu concerné, et non pas d’évaluer le risque de non-conformité pour l’entreprise, tant au regard de son exposition au risque de sanction pécuniaire ou d’impacts sur son image et sa réputation.