Délibération de la Commission natio­nale de l’informatique et des liber­tés n°SAN-2021–020 du 28 décembre 2021 concer­nant la société SLIMPAY

Lorsque vous procé­dez à un paie­ment en ligne, une société de paie­ment s’interpose souvent, mais discrè­te­ment, entre vous et le commer­çant. SlimPay est l’une de ces socié­tés, sise en France. Elle traite ainsi les données de consom­ma­teurs pour les commer­çants en ligne. Malheureusement pour ces consom­ma­teurs, la société fran­çaise a commis une petite erreur de sécu­rité des données, ce qui lui a valu une amende la Commission natio­nale de l’informatique et des liber­tés (CNIL, auto­rité fran­çaise de protec­tion des données).

En 2015, SlimPay décide de réuti­li­ser les données de douze millions de consom­ma­teurs dans le cadre d’un projet de recherche interne sur un méca­nisme de lutte contre la fraude. Ces données comprennent les infor­ma­tions rela­tives à l’état civil (civi­lité, nom, prénom), aux coor­don­nées postales, élec­tro­niques et télé­pho­niques, et aux infor­ma­tions bancaires (BIC/​IBAN). Cela étant, à la fin du projet en juillet 2016, les données restent sur un serveur qui est libre­ment acces­sible depuis Internet.

Ce n’est qu’en février 2020 qu’un commer­çant lui fait remar­quer ce « petit » problème. En raison de l’obligation légale d’annoncer les viola­tions de la sécu­rité (art. 33 RGPD), la société de paie­ment noti­fie la viola­tion de données à la CNIL, qui ouvre une procé­dure pour viola­tion du RGPD (déli­bé­ra­tion SAN-2021–020 du 28 décembre 2021).

Contrat de sous-trai­tance (art. 28 RGPD)

Grâce à la noti­fi­ca­tion, la CNIL découvre d’autres manque­ments au RGPD. En parti­cu­lier, l’autorité fran­çaise souligne ce qui suit :

« le fait que les inves­ti­ga­tions de la CNIL aient été initia­le­ment moti­vées par la surve­nance de la viola­tion de données, à la suite de sa noti­fi­ca­tion, est sans inci­dence sur la possi­bi­lité de consta­ter l’existence d’autres manque­ments au RGPD au regard des faits consta­tés dans le cadre des inves­ti­ga­tions menées par la délé­ga­tion de contrôle de la CNIL ».

L’autorité fran­çaise retient une viola­tion de l’obligation de prévoir contrac­tuel­le­ment diverses obli­ga­tions à la charge du sous-trai­tant (art. 28 par. 3 RGPD). En effet, certains contrats ne conte­naient pas toutes les clauses prévues par l’art. 28 par. 3 RGPD. Trois autres contrats ne compor­taient même aucune des mentions obli­ga­toires prévues par cet article.

Dans sa défense, SlimPay soutient que des négo­cia­tions sont en cours afin de modi­fier ces contrats. La CNIL lui rétorque laco­ni­que­ment que :

« le fait que la société ait entamé des démarches auprès des sous-trai­tants dans le cadre de la présente procé­dure démontre bien qu’elle n’était pas en confor­mité au moment des inves­ti­ga­tions menées par la CNIL ».

Sécurité des données (art. 32 RGPD)

Au regard de la sécu­rité des données, l’art. 32 RGPD impose au respon­sable du trai­te­ment de mettre en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées au risque.

En l’espèce, les données étaient acces­sibles depuis Internet, sans autre restric­tion d’accès ou mesure de sécu­rité. Il suffi­sait de dispo­ser de l’adresse IP du serveur pour y accéder.

La société de paie­ment invoque que l’obligation de sécu­rité est une obli­ga­tion de moyens, et non de résul­tat. Elle souligne que l’absence de sécu­rité était due à une négli­gence humaine. Enfin, l’adresse IP du serveur n’était pas réfé­ren­cée sur un moteur de recherche.

La CNIL lui répond que l’adresse IP était faci­le­ment iden­ti­fiable à l’aide de programmes de balayage de ports. Or ces programmes sont dispo­nibles sur le web et souvent utili­sés par les atta­quants afin de détec­ter des serveurs non ou mal sécurisés.

En outre, SlimPay n’avait adopté aucune mesure de jour­na­li­sa­tion des accès au serveur (logs). Or une telle mesure aurait permis de détec­ter les actions effec­tuées sur le serveur. Elle est d’ailleurs consi­dé­rée comme « indis­pen­sable à la gestion de la sécu­rité des systèmes d’information » par l’Agence natio­nale de la sécu­rité des systèmes d’information.

SlimPay soutient que cet éven­tuel manque­ment n’aurait causé aucun préju­dice. En effet, un audit serait arrivé à la conclu­sion que les données n’ont pas été exploi­tées par un attaquant.

La CNIL n’est pas convain­cue par cette approche. Il s’agit en l’espèce de données de plus de 12 millions d’Européens. Or la viola­tion de l’art. 32 RGPD ne dépend pas d’un résul­tat, mais de l’existence d’un risque. Ce risque était, in casu, bien réel. En raison de leur nature, ces données libre­ment acces­sibles ont créé un risque d’hameçonnage et d’usurpation d’identité pour les personnes concernées.

Communication à la personne concer­née d’une viola­tion de données (art. 34 RGPD)

Après avoir constaté une viola­tion de la sécu­rité des données, la CNIL se penche dans un troi­sième temps sur l’obligation de commu­ni­quer aux personnes concer­nées la viola­tion de données.

L’art. 34 par. 1 RGPD impose au respon­sable du trai­te­ment de commu­ni­quer la viola­tion de données à carac­tère person­nel à la personne concer­née dans les meilleurs délais lorsque la viola­tion de données est suscep­tible d’en­gen­drer un risque élevé pour les droits et liber­tés des personnes concer­nées par la violation.

La CNIL balaie tout d’abord l’argument de SlimPay selon lequel le risque n’était pas élevé. En effet, en raison de sa nature, du volume, de la faci­lité d’identification et des consé­quences possibles, le risque lié à la viola­tion des données doit être consi­déré élevé.

Selon l’art. 34 par. 3 let. c RGPD, le respon­sable du trai­te­ment peut renon­cer à infor­mer les personnes concer­nées de la viola­tion de données si la commu­ni­ca­tion exige « des efforts dispro­por­tion­nés. Dans ce cas, il est plutôt procédé à une commu­ni­ca­tion publique ».

Dans sa défense, SlimPay invoque encore le fait qu’elle n’a pas l’intégralité des adresses élec­tro­niques des personnes concer­nées. En outre, une commu­ni­ca­tion publique sur son site web n’aurait pas été perti­nente puisque les personnes concer­nées ne savent pas si elles ont utilisé SlimPay.

Premièrement, la CNIL souligne que la société de paie­ment dispose tout de même de la moitié des adresses élec­tro­niques des personnes concer­nées. Elle aurait ainsi pu, à tout le moins, contac­ter ces personnes.

Deuxièmement, la commu­ni­ca­tion publique aurait pu être reprise par des jour­naux ainsi que dans les réseaux sociaux et, ainsi, atteindre les personnes concer­nées. Le site web de SlimPay aurait ainsi été seule­ment le point de départ de cette commu­ni­ca­tion publique, laquelle aurait ensuite gagné en importance.

Grâce à une commu­ni­ca­tion publique, les personnes qui auraient voulu savoir si elles étaient concer­nées par la viola­tion de données auraient pu ensuite contac­ter la société fran­çaise. Partant, la commu­ni­ca­tion publique aurait permis d’atteindre les personnes concernées.

Conclusion et amende

En conclu­sion, la CNIL retient, en plus d’une viola­tion des art. 28 RGPD (contrat de sous-trai­tance) et art. 32 RGPD (sécu­rité des données), une viola­tion de l’art. 34 RGPD (commu­ni­ca­tion à la personne concer­née d’une viola­tion de données à carac­tère person­nel). Notamment en raison du chiffre d’affaires de la société (caviardé dans la déci­sion), l’autorité fran­çaise impose à SlimPay une amende de EUR 180’000.- (art. 83 RGPD).

Bref commen­taire

Cette déci­sion fran­çaise rappelle l’approche du RGPD fondée sur le risque. Une viola­tion de la sécu­rité des données peut ainsi être rete­nue lors de la simple créa­tion d’un risque, même s’il n’y a eu aucun accès non autorisé.

En Suisse, l’actuel art. 7 LPD (art. 8 nLPD) retient la même approche. Dans la nouvelle loi (art. 61 let. c nLPD), une amende pénale est même prévue lors d’une viola­tion inten­tion­nelle des « exigences mini­males en matière de sécu­rité des données édic­tées par le Conseil fédéral ».

Cela étant, l’actuel projet d’ordonnance rela­tive à la loi fédé­rale sur la protec­tion des données ne semble pas prévoir de telles « exigences mini­males ». Si l’ordonnance n’est pas préci­sée, la consé­quence pénale d’une viola­tion de la sécu­rité des données restera proba­ble­ment lettre morte.