Malgré les scandales récents liés à la captation de données, nombre d’entreprises n’ont toujours pas pris la pleine mesure de la nécessité de protéger leurs données ou celles de leurs clients. En témoigne la délibération récente de la Commission nationale de l’informatique et des libertés (CNIL) à l’encontre d’Optical center (délibération de la formation restreinte n°2015-379 du 5 novembre 2015).

En l’espèce, lors de l’appel d’une cliente à Optical center, son mot de passe lui avait été communiqué, lui laissant supposer que celui-ci était stocké en clair dans la base de données. Elle a alors porté plainte auprès de la CNIL, qui a mis en place une procédure de contrôle, puis de mise en demeure de la société. Cette mise en demeure n’ayant été que partiellement suivie, comme le révèlent des contrôles subséquents, la CNIL a décidé d’entamer une procédure de sanction à l’encontre de la société.

La délibération du 5 novembre 2015 est l’occasion de rappeler les obligations qui incombent aux responsables de traitement au regard de la sécurité des données, obligations qui sont prévues aux articles 34 et 35 de la loi n°78-17 du 6 janvier 1978.

En ce qui concerne la sécurité des données clients, la CNIL reprochait à la société différents manquements relatifs à :

• la sécurisation des connexions : la CNIL rappelle à cet égard que la sécurisation de la navigation sur le site (connexion ou changement du mot de passe) implique l’utilisation du protocole sécurisé HTTPS. En l’espèce le manquement est caractérisé, alors même qu’il avait cessé au jour de la délibération. Cette appréciation peut sembler sévère eu égard à la position traditionnelle de la CNIL (cf. délibération n°2014-238 du 12 juin 2014), mais il est probable que l’absence initiale de protocole HTTPS, constitutive d’une négligence, puis la lenteur dans la mise en place de ce protocole, excessive s’agissant d’une opération qui devrait relever des fondamentaux d’une entreprise, ont lourdement pesé dans la balance ;
• la robustesse des mots de passe : la CNIL a déjà eu l’occasion de donner des indications quant à ce qu’elle considère comme un mot de passe suffisamment robuste. Elle a depuis longtemps publié un guide dans lequel elle détaille ce qu’elle attend des responsables de traitement en la matière : d’une part, les mots de passe doivent avoir une taille minimale de huit caractères et d’autre part, ils doivent mélanger au moins trois des quatre types de caractères admis, c’est-à-dire, minuscules, majuscules, chiffres et caractères spéciaux. L’argument selon lequel Optical center ne pouvait vérifier la conformité des mots de passe choisis par les clients est évidemment rejeté : la société aurait dû mettre en place un système ne permettant de retenir que des mots de passe suffisamment robustes ; à défaut, elle aurait dû contraindre les utilisateurs antérieurs à un changement de mot de passe, après mise en place de ce système.

En ce qui concerne la sécurité des données des salariés, plusieurs points ont également été relevés, relatifs à :

• a sécurité des postes des salariés : outre la question de la robustesse des mots de passe, qui s’est posée dans les mêmes termes et avec la même conclusion que pour les données des clients, la CNIL a rappelé que les mots de passe des salariés devaient faire l’objet d’une politique de gestion. Ainsi, un processus de changement manuel des mots de passe ne peut être considéré comme sécurisé. Par ailleurs, le renouvellement périodique, automatique, des mots de passe aurait dû être prévu, par exemple tous les trois mois ;
• la sécurité de l’accès local aux postes : un verrouillage automatique des postes des salariés après un certain temps d’inactivité aurait dû être mis en place. Comme le relève la CNIL, en réponse à la société, qui jugeait une telle mesure inutile au prétexte que les locaux n’étaient pas accessibles au public, « la sécurisation globale du système d’information ne peut reposer uniquement sur la sécurité physique des locaux » ;
• la sécurité de l’accès à distance : la CNIL avait mis en demeure la société de mettre en place une mesure d’authentification forte pour les salariés accédant au back office par Internet, ce qui requiert au minimum deux facteurs d’authentification distincts parmi ce que l’on sait (par exemple un mot de passe), ce que l’on a (par exemple un certificat électronique ou une carte à puce) et une caractéristique qui nous est propre (par exemple une empreinte) (cf. guide précité). En l’absence de mise en conformité de la société sur ce point, le manquement a été considéré comme caractérisé.

Enfin, concernant les relations avec un sous-traitant, la CNIL rappelle que le contrat conclu avec un sous-traitant doit prévoir spécifiquement les obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société. Il ne s’agit pas, comme l’avait cru la société, d’insérer une clause définissant les conditions d’accès aux données qui la concernent.

Au vu de l’étendue des manquements constatés et de l’ampleur des données concernées (170 000 clients), la formation restreinte de la CNIL a sanctionné Optical center à hauteur de 50 000€ et à la publication de sa condamnation.

A noter : la CNIL a publié un questionnaire à remplir soi-même qui permet de faire un état des lieux de la sécurité des données. Celui-ci est disponible à la dernière page du guide : « La sécurité des données personnelles« .

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.