le 24/01/2019

La CNIL sanctionne toujours plus fort les violations de sécurité

Délibération de la formation restreinte n°SAN-2018-012 du 26 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société BOUYGUES TELECOM

Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société UBER FRANCE SAS

 

Dans deux délibérations rendues successivement, la formation restreinte de la CNIL a prononcé deux amendes administratives de respectivement 400.000 euros pour Uber France et 250 000 pour Bouygues Télécom en raison de problèmes relatifs à la sécurité des données collectées.

Ces deux décisions montrent de nouveau que la CNIL est particulièrement vigilante sur ce qui touche à la sécurité des systèmes d’information et n’hésite pas à sanctionner les faits même plusieurs années après la connaissance et la matérialisation de la violation de données personnelles.

Dans le cas de Bouygues Télécom, une vulnérabilité liée à un défaut de sécurité permettait d’accéder à des contrats et factures de deux millions de clients B&You pendant plus de deux ans. L’entreprise, après en avoir été informée, a corrigé la faille de sécurité mais la formation restreinte de la Commission a considéré que la société avait manqué à son obligation d’assurer la sécurité des données personnelles et ce d’autant plus que le défaut de sécurité avait pour origine un oubli au sein de la société de réactiver la fonction d’authentification sur l’espace client (désactivée pour une phase de test).

Dans le cas d’Uber, la société a révélé dans la presse avoir été victime en 2016 d’une violation de sécurité avec le vol de données personnelles de près de 57 millions d’utilisateurs, dont 1,4 millions de Français. Comme dans la situation de Bouygues Télécom, la formation restreinte de la CNIL a estimé que cette attaque n’aurait pu aboutir si des mesures élémentaires de sécurité avaient été mises en place comme imposer une authentification forte pour ses ingénieurs sur la plateforme de développement « Github » ou encore en stockant de manière chiffrée les informations présentes au sein du code source de la plateforme « Github ».

Ces deux décisions montrent bien que la CNIL sanctionne toujours les violations de sécurité et de manière toujours plus dissuasive. L’ensemble des acteurs traitant des données ne pourra plus arguer d’un défaut de connaissance de la loi informatique et liberté ou du RGPD pour justifier de tels manquements.