Traditionnellement, l’autorité de protection des données personnelles est connue pour vérifier la conformité des responsables de traitements vis-à-vis des exigences légales, notamment concernant leur site web, telles que le respect du droit à l’information des personnes concernées ou encore la collecte de leur consentement.
Toutefois, la CNIL est également le gendarme des mesures de cybersécurité en place.
La cybersécurité des sites web constitue une des thématiques privilégiées par la CNIL en 2021. Elle a ainsi constaté que les défauts de sécurité des sites web figuraient parmi les manquements les plus souvent relevés et qu’ils étaient susceptibles de conduire à des violations de données personnelles. En outre, le contrôle de la CNIL permet d’encourager le renforcement de la sécurité des systèmes d’information des entreprises, notamment pour faire face à la hausse constante des cyberattaques.
Le 8 juillet 2022, l’autorité a prononcé des mises en demeure à l’encontre de 15 sites web, requérant que leur sécurité soit mise en conformité [1]. Ces mises en demeure portent toutes sur l’identification de pratiques non conformes à des exigences de sécurité, rendant ces sites web vulnérables à des cyberattaques.
Du fait de l’interdépendance entre la protection des données et la cybersécurité (I), la CNIL est en mesure de mettre en demeure des organismes pour la non-conformité de leurs sites web (II), ce qui doit amener les entreprises à porter une attention particulière à certains éléments de cybersécurité de leur site web (III).
I. L’interdépendance entre la protection des données personnelles et la cybersécurité.
La donnée à caractère personnel est définie à l’article 4 du Règlement Général à la Protection des Données (RGPD) comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette définition, extrêmement large, permet d’englober la plupart des données traitées. Ainsi, le traitement de données effectué via un site web constitue presque systématiquement un traitement de données à caractère personnel, ce qui a pour conséquence de soumettre l’organisme responsable du traitement aux exigences du RGPD.
Le RGPD contient des exigences expressément liées à la sécurité des systèmes d’information, une sécurité qui, si elle est renforcée, permet d’amoindrir le risque d’atteinte aux données à caractère personnel. L’article 32 du RGPD, relatif à la sécurité du traitement, prévoit que le responsable de traitement doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il liste plusieurs mesures de sécurité qui doivent être envisagées par le responsable de traitement, en prenant en considération les risques liés à l’activité de traitement :
La pseudonymisation et le chiffrement des données à caractère personnel ;
Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Ces dispositions font reposer sur le responsable de traitement une obligation de moyens : il doit faire en sorte de prendre des mesures de sécurité appropriées pour son système d’information afin de réduire le risque cyber.
C’est au regard des exigences de l’article 32 RGPD que la CNIL saisit l’opportunité d’effectuer des contrôles de la sécurité des sites web. Ces contrôles l’amènent à mettre en demeure les organismes lorsqu’ils ne sont pas en conformité, voire à les sanctionner financièrement.
II. La mise en demeure de la CNIL.
La mise en demeure constitue une injonction pour le responsable de traitement de se mettre en conformité avec la réglementation dans un délai défini par l’autorité de protection des données. Si la CNIL souligne, via son site internet, que la mise en demeure n’est pas une « sanction » mais simplement une « injonction », il convient de rappeler qu’une mise en demeure peut être rendue publique par décision motivée. L’anonymisation n’intervient qu’une fois un délai de deux ans expiré.
La mise en demeure n’est donc pas une « sanction » à proprement parler, mais ses conséquences peuvent être rapprochées de celles d’une sanction. En effet, un dommage réputationnel est susceptible de résulter d’une mise en demeure rendue publique, assimilable à un pointage du doigt public qui soulignerait la négligence de l’entreprise en cause. Ce risque réputationnel est d’autant plus réel que les individus accordent une attention croissante à la sécurisation du traitement de leurs données.
III. Cybersécurité des sites web : les points à ne pas négliger.
Afin d’éviter une mise en demeure de la CNIL, les organismes doivent donc porter une attention particulière à la sécurité de leur site web. En la matière, les principaux manquements constatés par la CNIL sont les manquements relatifs aux données insuffisamment chiffrées ainsi qu’aux des comptes utilisateurs mal protégés [2]. Par conséquent, lorsque les organismes s’interrogent sur le niveau des mesures de sécurité en place sur leur site web, ils doivent prendre en compte les principaux points de contrôle de la CNIL et leur accorder une importance particulière.
1. Le chiffrement des données.
32% des sanctions prononcées par la CNIL en matière de sécurité comprennent l’identification d’une vulnérabilité liée à la protection des données en transit et au repos. Une des faiblesses régulièrement sanctionnées est l’absence de protocoles de sécurité, par exemple via l’utilisation de HTTP [3]. Concernant le chiffrement des données, le responsable de traitement doit ainsi assurer à l’utilisateur un accès sécurisé au site web en utilisant un protocole sécurisé. HTTP étant le protocole de transfert hypertexte, il est nécessaire d’ajouter une couche de cryptage TLS (SSL étant obsolète) afin de sécuriser la transmission de données. L’utilisation de HTTPS s’impose donc, car il implique un processus d’authentification et permet une communication chiffrée des données.
2. La sécurisation de l’authentification.
64% des sanctions prononcées par la CNIL en matière de sécurité comprennent l’identification de défauts d’authentification qui peuvent s’illustrer par l’absence d’une politique robuste de mots de passe ou encore l’absence de mécanismes protégeant contre les attaques par force brute [4]. Concernant la politique de mots de passe, le responsable de traitement doit avoir recours à des mots de passe suffisamment robustes et à des procédures permettant de les renouveler en sécurisant leur transmission et leur conservation. La CNIL, dans sa délibération n°2017-012 du 19 janvier 2017, a pu fournir deux recommandations :
Lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, le responsable de traitement doit mettre en place un mot de passe comportant un minimum de douze caractères (majuscule, minuscule, chiffre,
caractère spécial) ;
Le mot de passe pourra n’être composé que d’un minimum de huit caractères, avec trois de ces quatre catégories de caractères, s’il est accompagné d’une mesure complémentaire telle que la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès en cas d’échec de plusieurs tentatives) ou encore la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées de tentatives.
La CNIL a récemment prononcé une sanction de 600 000 euros à l’encontre d’une société dans le secteur de l’hôtellerie du fait de la faiblesse des mots de passe requis, qui manquaient de robustesse (Délibération SAN-2022-017 du 3 août 2022).
Au-delà de la création des mots de passe, leur transmission se doit également d’être sécurisée. Ainsi, une sanction de 300 000 euros a été prononcée à l’encontre d’une société dans le secteur des télécommunications au début de l’année 2022 car cette société transmettait des mots de passe non temporaires en clair par courriel (Délibération SAN-2021-021 du 28 décembre 2021) rendant ces derniers particulièrement exposés en cas de cyberattaque.
Pour s’assurer de la conformité de leur site web, les responsables de traitements doivent donc prendre les mesures nécessaires pour répondre aux exigences de la CNIL sur les points susmentionnés.
Conclusion.
La cybersécurité des sites web fait l’objet d’une surveillance attentive de la part de la CNIL qui sanctionne régulièrement les organismes, principalement pour des défauts de chiffrement et pour des comptes utilisateurs mal protégés.
Si les sanctions peuvent être pécuniaires, les organismes peuvent y échapper en prenant les actions nécessaires suite à une mise en demeure de la CNIL, qui constitue une injonction de se mettre en conformité.
Néanmoins, une mise en demeure de la CNIL rendue publique produit également des effets néfastes pour l’organisme, principalement au niveau réputationnel. Il appartient donc aux responsables de traitements d’accorder une attention particulière à la sécurité de leur site web. Prudence apparaît être mère de (cyber)sûreté.