La crise sanitaire de la COVID-19 a contribué à accroître encore l’utilisation des services en ligne et ainsi les échanges de données personnelles. En conséquence, les risques en découlant ont également été accentués.
C’est dans ce contexte de menace accrue que la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé ses thématiques de contrôle pour 2021. Cybersécurité des sites internet, sécurité des données personnelles de santé, attention particulière portée aux cookies et autres traceurs… Parmi ces priorités, la sécurité des sites web représente notamment aujourd’hui un défi majeur pour la CNIL.
Que faire pour s’assurer que votre site est bien conforme aux règles en vigueur ? Comment veiller à ce qu’il soit suffisamment sécurisé ?
Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, décrypte pour vous ce sujet complexe.
La CNIL : qu’est-ce que c’est ?
La CNIL est une autorité administrative indépendante française, créée en 1978 par la loi Informatique et Libertés.
Elle veille à la protection des données personnelles et s’assure du fait que l’informatique ne porte pas atteinte à l’identité humaine, aux droits de l’homme ou à la vie privée. Composée de 18 membres, ses missions sont au nombre de quatre :
- informer, protéger les droits en répondant notamment aux demandes des particuliers et des professionnels ;
- accompagner la conformité et conseiller ;
- anticiper et innover ;
- contrôler et sanctionner.
Ainsi, la CNIL possède des fonctions d’alerte, d’information et de conseil mais dispose également de pouvoirs importants de contrôle et de sanction. En mai 2018, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), ses pouvoirs et attributions ont été considérablement renforcés.
Dans le cadre des sites internet, la CNIL peut notamment réaliser des contrôles en ligne, sans aucune obligation d’en avertir l’éditeur du site internet concerné. En cas de manquement constaté, l’action de la CNIL peut consister en un simple rappel à l’appel à l’ordre, une injonction de se mettre en conformité, ou une sanction pécuniaire.
Les grandes priorités de la CNIL pour 2021
En 2021, la CNIL a annoncé qu’elle allait se focaliser sur trois grandes thématiques de contrôle : la cybersécurité des sites web, la sécurité des données de santé et enfin l’utilisation des cookies.
Il ne s’agit pas là d'enjeux nouveaux, puisque la CNIL avait déjà amorcé des contrôles en 2020, notamment en ce qui concerne l’utilisation des cookies sur internet. Cependant, la digitalisation croissante de la société ainsi que la crise sanitaire actuelle ont accentué les risques en matière de données personnelles. Les plaintes, de plus en plus nombreuses, que reçoit la CNIL au sujet de ces trois thématiques témoignent de leur importance et de la nécessité de réagir rapidement.
La cybersécurité des sites web
Parmi les priorités de contrôle de la CNIL figure, pour 2021, la sécurité des sites internet. Une large partie des manquements constatés par le régulateur découlent en effet de défauts de sécurité en ligne, pouvant mener à des violations de données au préjudice des utilisateurs. L’article 32 du RGPD impose en effet une obligation de sécurité des données. Pourtant, en 2020, le nombre de notifications reçues par la CNIL en la matière a augmenté de 24 % par rapport à l’année précédente.
Concrètement, la CNIL considère qu’un site n’est pas sécurisé lorsque certaines vulnérabilités ou failles de sécurité sont identifiées. Parmi les problèmes détectés, certains apparaissent de manière récurrente :
- l’utilisation, pour s’authentifier, d’un mot de passe considéré comme trop peu robuste ;
- l’absence de règles d’authentification aux comptes privés, permettant ainsi de se connecter en étant seulement en possession de l’URL du site ;
- l’absence de chiffrement des données, rendant leur accès possible en cas de perte ou de faille de sécurité. En effet, le chiffrement permet de protéger les données en les convertissant en un format codé, afin de rendre leur compréhension impossible ;
- l’indexation des données dans un moteur de recherche, c’est-à-dire le fait que des documents confidentiels ou des données personnelles soient parfois consultables sur un moteur de recherche.
Au vu de ces éléments, le contrôle de la CNIL se concentrera sur quatre points principaux :
- La conformité des acteurs à la recommandation de la CNIL sur les mots de passe. En 2017, la CNIL a en effet publié une recommandation destinée à garantir un niveau minimal de sécurité en la matière.
- Les formulaires de recueil de données personnelles. Ces formulaires servent à informer les individus au sujet du traitement de leurs données (identité et coordonnées du responsable de traitement, destinataire des données, durée de conservation…).
- L’utilisation du protocole HTTPS. Ce protocole de communication Internet protège l’intégrité et la confidentialité des données lors du transfert d’informations entre l’ordinateur d’une personne et un site web.
- Les rançongiciels (ou ransomwares). Il s’agit de programmes malveillants menaçant la victime de diffuser ses informations personnelles ou d’en bloquer l’accès si elle ne paye pas une « rançon ». On constate actuellement une augmentation inquiétante de ce type d’attaques, visant notamment des collectivités locales et des entreprises mais aussi, dans ce contexte de crise sanitaire, des établissements de santé.
Pour limiter ces attaques, il est essentiel d’assurer la sécurité de son site internet. Ces failles sont souvent la conséquence d’une accumulation de plusieurs défauts de sécurité. Parmi les « bonnes pratiques » visant à se protéger contre les rançongiciels, il faut par exemple veiller à conserver des sauvegardes « hors ligne » de données, sensibiliser le personnel aux risques liés à la sécurité, ou encore la mise en place de protocoles de sécurité séparant les serveurs de l’organisme concerné de l’ordinateur de tout utilisateur afin de limiter la diffusion de l’attaque.
Pour en savoir plus sur les failles et violation de données personnelles, consultez mon article : “Comment réagir face à une violation de données personnelles en entreprise ?.”
En janvier 2021, la CNIL a notamment sanctionné d’une amende de 150 000 € le prestataire d’un site internet sur lequel "des millions de clients effectuent régulièrement des achats" pour ne pas avoir mis en place des mesures de sécurité appropriées pour lutter contre des attaques web de type "credential stuffing". La CNIL a notamment estimé que le site aurait dû mettre en œuvre des mesures consistant à limiter le nombre de requêtes IP autorisées et à mettre en place un processus d'authentification CAPTCHA des utilisateurs pour accéder à leurs comptes web. Le responsable du traitement des données du site a également été condamné à une amende de 75 000 €.
La sécurité des données de santé
Dans la continuité des contrôles réalisés en 2020, la CNIL a annoncé qu’elle souhaitait porter une attention particulière à la sécurité des données de santé. Le RGPD définit ces données comme l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale, passé, présent ou futur de la personne concernée.
La crise sanitaire actuelle a en effet accentué la digitalisation du secteur de la santé. De plus en plus de personnes se tournent aujourd’hui vers des services de santé numériques, créant ainsi des enjeux considérables en matière de sécurité des données. Dans ce contexte, la CNIL a annoncé vouloir s’assurer de la conformité du traitement des données de santé des personnes mais aussi renforcer leur sécurité.
Concrètement, la mise en conformité relative aux données de santé requiert, par exemple, la réalisation d’analyses d’impact préalables ou encore une information renforcée des personnes concernées par le traitement de leurs données de santé.
À titre d’exemple, le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné deux médecins libéraux (respectivement à hauteur de 3000€ et 6000€) pour manquement à l’obligation de sécurité des données de santé de leurs patients.
L’utilisation des cookies
La CNIL va poursuivre cette année ses contrôles relatifs au ciblage publicitaire et au profilage des utilisateurs réalisés via des cookies et autres traceurs. En 2021, le consentement fera également partie des vérifications, en conformité avec les lignes directrices et la recommandation adoptées à ce sujet par la CNIL le 1er octobre 2020.
En effet, la CNIL en a profité pour rappeler deux règles à l’importance capitale : la nécessité d’informer de manière claire et concise l’utilisateur du but pour lequel ont été mis en place les traceurs et la possibilité de refuser facilement les cookies. Désormais, le consentement implicite ou « subi » est révolu. Concrètement, depuis le 1er avril 2021, la mise en conformité exige la mise en place de bannières de cookies claires et lisibles, permettant un opt-out aussi facile d’accès que l’opt-in.
Pour en savoir plus consultez mon article : Cookies et traceurs, comment avoir un site web conforme ?
Les décisions de la CNIL en matière de cookies sont nombreuses. Pour un exemple récent, on peut citer l’amende de 35 millions d’euros imposée à Amazon Europe Core le 7 décembre 2020. Au même titre, de lourdes sanctions pécuniaires ont visé les sociétés Google LLC et Google Ireland Limited, qui ont respectivement écopé de 60 millions et 40 millions d’euros d’amende, toujours en décembre 2020.
Les contrôles de la CNIL étape par étape
Un contrôle de la CNIL peut être initié de différentes manières. Elle peut en effet être saisie d’une plainte ou d’un signalement par des utilisateurs ou encore par d’autres régulateurs européens. La CNIL peut également s’autosaisir, notamment concernant des cas particuliers en lien avec ses thématiques prioritaires de contrôle.
Lors d’un contrôle, la CNIL possède de nombreux pouvoirs. Ces contrôles peuvent se réaliser sur place, puisque la CNIL dispose d’un pouvoir d’accès aux traitements de données. Il peut également se faire en ligne dans le cas où des manquements sont visibles à distance (c’est notamment le cas pour le contrôle sur la réglementation des cookies sur les sites internet). Enfin, la CNIL peut convoquer puis auditionner les personnes concernées, ainsi que poser des questions écrites ou demander des documents.
À la fin d’un contrôle, deux options sont envisageables :
- soit la commission n’a pas ou peu d’observations à faire, auquel cas le contrôle prend fin ;
- soit elle note l’existence de manquements sérieux, et peut alors mettre en demeure ou même sanctionner directement l’organisme.
Les pouvoirs de contrôle et de sanction dont dispose la CNIL sont très dissuasifs. En effet, elle peut réaliser un grand nombre d’actes d’investigation et dispose d’un large éventail de sanctions, parmi lesquelles des injonctions sous astreinte ou encore l’imposition d’amendes administratives pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros.
En outre, la CNIL accompagne de plus en plus fréquemment ses sanctions de leur publication sur son site mettant ainsi en jeu la crédibilité et l’image de l’entreprise.
Pour éviter de s’exposer à un contrôle de la CNIL et éventuellement à une sanction, il est important de se faire accompagner. En effet, le caractère technique de la mise en conformité et la sécurisation d’un site internet peut souvent rendre les choses complexes.
Ainsi, il est important de se faire accompagner par un expert qui saura répondre à vos questions et vous conseiller.
Une question ? Laissez votre commentaire