Sécurité des données : La rigueur de la Loi pour une République Numérique en attendant le RGPD
Parmi les apports de la Loi pour une République Numérique (ci-après « LRN ») du 7 octobre 2016 en matière de protection des données à caractère personnel, il y a, outre des sanctions qui sont passées de 150 000 euros à 3.000 000 euros (anticipant en cela le plafond prévu par le RGPD pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial) une vraie nouveauté dans le processus de sanctions.
Là où avant la LRN du 7 octobre 2016, la CNIL devait systématiquement mettre en demeure les sociétés concernées par des failles de sécurité ou par toute autre atteinte aux données à caractère personnel et tenir compte de leurs comportements avant de prononcer des sanctions pécuniaires, cette mise en garde préalable n’est plus une condition nécessaire.
En effet, l’article 65 de la LRN intégrant un nouvel article 45 dans la loi de 1978 modifiée dispose désormais que :
« I. – (…) Lorsque le responsable d'un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'extrême urgence, ce délai peut être ramené à vingt-quatre heures.
Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure. (…)
Lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I ».
La société Hertz a eu à expérimenter très récemment la mise en place de cette nouvelle disposition dans l’application de l’échelle des sanctions de non conformité à la Loi Informatique et Libertés, notamment en ce qui concerne l’obligation de sécurité prévue à l’article 34 de cette Loi[1].
La délibération ayant donné lieu à une sanction pécuniaire prononcée par la CNIL à hauteur de 40.000 euros à l’encontre de la société Hertz a mis en avant le fait que :
« La formation restreinte considère que la violation de données résulte d’une négligence de la société dans la surveillance des actions de son sous-traitant. Elle note tout d’abord que la société n’a imposé aucun cahier des charges à son prestataire s’agissant du développement du site. La formation restreinte relève ensuite que l’opération de changement de serveur, à l’origine de la violation de données, concernait les serveurs permettant de communiquer avec le prestataire de paiement et constituait donc une opération délicate requérant une attention particulière. Selon la formation restreinte, la société aurait dû s’assurer, à la suite de cette opération, que la mise en production du site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité.
(…) Compte tenu de ces éléments, la formation restreinte considère que la société n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées ».
Cette décision illustre bien le changement de paradigme consécutif à la LRN, lequel s’accentuera après la mise en application du RGPD le 25 mai 2018.
Il n’est plus envisageable de la part du responsable du traitement d’attendre que la CNIL le mette en demeure publiquement de faire quelque chose pour réagir et éviter la sanction pécuniaire qui pourrait en découler.
Désormais si le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure, la CNIL pourra prononcer directement des sanctions pécuniaires.
De la même façon, il ne s’agira pas pour ce responsable de traitement de dire qu’il a mis en place des mesures de sécurité pour éviter que le dommage se produise, mais bel et bien de démontrer que celles-ci étaient adéquates et proportionnées eu égard à la sensibilité des données traitées à travers les outils informatiques qu’il a conçus ou ceux que son sous-traitant a mis à sa disposition.
Les mesures de sécurité élémentaires eu égard à la sensibilité des données devront avoir été mises en œuvre sous peine de sanctions.
A défaut de pouvoir prévoir l’imprévisible, il vous sera donc demandé de démontrer que vous avez fait en sorte, par une attitude proactive, de prévoir (et donc d’essayer d’éviter) ce qui pouvait raisonnablement l’être.