Délibération de la CNIL n°SAN-2020–003 du 28 juillet 2020 concer­nant la société SPARTOO SAS

L’autorité fran­çaise compé­tente en matière de protec­tion des données (la Commission natio­nale de l’informatique et des liber­tés (CNIL)) a rendu Le 28 juillet 2020 une déli­bé­ra­tion concer­nant la société SPARTOO SAS, à qui elle repro­chait diverses viola­tions du RGPD. Le présent commen­taire se concentre sur le manque­ment à l’obligation d’assurer la sécu­rité des données (art. 32 RGPD).

La société SPARTOO SAS est une société spécia­li­sée dans la vente à distance de chaus­sures. Afin d’exercer ses acti­vi­tés, la société dispose de seize sites Internet dans treize pays de l’Union euro­péenne. Lorsqu’un utili­sa­teur désire créer un compte sur l’un de ces sites, il doit indi­quer un mot de passe composé d’au moins six carac­tères sans néces­sai­re­ment conte­nir plusieurs types de caractère.

Par ailleurs, afin de lutter contre les fraudes, la société demande à ses clients de lui envoyer une copie du recto de leur carte bancaire lorsque le proto­cole 3DSecure n’est pas validé. Elle a ainsi reçu par cour­riel non chif­fré des photo­gra­phies et scan de clients conte­nant l’intégralité des numé­ros de leur carte bancaire. La société a égale­ment conservé ces données en clair dans sa base de données pendant six mois.

L’art. 32 al. 1 du Règlement géné­ral euro­péen sur la protec­tion des données prévoit notam­ment ce qui suit :

« Compte tenu de l’état des connais­sances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des fina­li­tés du trai­te­ment ainsi que des risques, dont le degré de proba­bi­lité et de gravité varie, pour les droits et liber­tés des personnes physiques, le respon­sable du trai­te­ment et le sous-trai­tant mettent en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin de garan­tir un niveau de sécu­rité adapté au risque ».

Concernant les mots de passe, la société soutient devant la CNIL qu’elle a préféré opter pour l’imposition de mots de passe courts et plus simples, lesquels seraient moins prévi­sibles pour un éven­tuel attaquant.

La CNIL souligne d’emblée ce qui suit :

« la longueur et la complexité d’un mot de passe demeurent des critères élémen­taires permet­tant d’apprécier la force de celui-ci. (…) [P]our assu­rer un niveau de sécu­rité suffi­sant et satis­faire aux exigences de robus­tesse des mots de passe, lorsqu’une authen­ti­fi­ca­tion repose unique­ment sur un iden­ti­fiant et un mot de passe, le mot de passe doit compor­ter au mini­mum douze carac­tères – conte­nant au moins une lettre majus­cule, une lettre minus­cule, un chiffre et un carac­tère spécial – ou le mot de passe doit compor­ter au moins huit carac­tères – conte­nant trois de ces quatre caté­go­ries de carac­tères – et être accom­pa­gné d’une mesure complé­men­taire comme par exemple la tempo­ri­sa­tion d’accès au compte après plusieurs échecs (suspen­sion tempo­raire de l’accès dont la durée augmente à mesure des tenta­tives), la mise en place d’un méca­nisme permet­tant de se prému­nir contre les soumis­sions auto­ma­ti­sées et inten­sives de tenta­tives (ex : capt­cha ) et/​ou le blocage du compte après plusieurs tenta­tives d’authentification infructueuses ».

Or, en l’espèce, le fait d’accepter un mot de passe composé unique­ment de six carac­tères et d’une seule caté­go­rie de carac­tère ne corres­pond pas aux exigences requises susmen­tion­nées en matière de sécu­rité. Partant, la société a violé l’art. 32 RGPD.

Concernant les données bancaires, la CNIL constate que la société n’a mis en place aucune mesure apte à garan­tir la sécu­rité de ces données. Au contraire, elle a reçu l’intégralité des numé­ros des cartes, alors qu’elle aurait dû en deman­der qu’une partie tron­quée afin de lutter contre les fraudes. Par ailleurs, elle a reçu ces données bancaires en clair et par cour­riel non chif­fré. Enfin, elle les a conser­vées pendant six mois en clair. Partant, la CNIL consi­dère que la société a égale­ment violé l’art. 32 RGPD en ne mettant pas en place des mesures de sécu­rité permet­tant de garan­tir la sécu­rité des données bancaires de ses clients.

En droit suisse, l’art. 7 al. 1 LPD ancre dans la loi le prin­cipe de de la sécu­rité des données :

« Les données person­nelles doivent être proté­gées contre tout trai­te­ment non auto­risé par des mesures orga­ni­sa­tion­nelles et tech­niques appropriées ».

Dans son Guide rela­tif aux mesures tech­niques et orga­ni­sa­tion­nelles de la protec­tion des données, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence se prononce sur les exigences de robus­tesse des mots de passe que sous l’angle de l’accès aux données par des employés au sein de l’entreprise. Il précise que le mot de passe doit être fort, c’est-à-dire qu’il doit conte­nir au mini­mum 8 carac­tères dont des lettres (majus­cules et minus­cules), des chiffres et des carac­tères spéciaux. À notre connais­sance, le Préposé ne se prononce toute­fois pas sur les exigences de robus­tesse des mots de passe créés par des utili­sa­teurs sur un site Internet. Vu l’absence de recom­man­da­tion helvé­tique en la matière, les socié­tés suisses pour­raient, à notre avis, s’inspirer notam­ment des Recommandations de sécu­rité rela­tives aux mots de passe émises par l’Agence natio­nale de la sécu­rité des systèmes d’information fran­çaise afin de respec­ter l’art. 7 LPD.

Notons enfin qu’un manque­ment, sans motif justi­fi­ca­tif, à l’art. 7 LPD consti­tue un acte illi­cite qu’un lésé peut invo­quer afin de deman­der des dommages-inté­rêts. A notre avis, une personne qui verrait son compte piraté, en raison de l’absence d’exigence d’un mot de passe suffi­sam­ment robuste, pour­rait néan­moins se voir impo­ser, selon les circons­tances, une réduc­tion de l’indemnité deman­dée en raison d’une faute conco­mi­tante de sa part (art. 44 CO).

Désormais, les socié­tés seraient ainsi bien avisées de suivre les exigences préco­ni­sées par la CNIL en matière de robus­tesse des mots de passe.