• Données personnelles

    par brm_admin

    Nouvelle sanction de la CNIL : l’occasion de rappeler de bonnes pratiques

    Par une décision du 28 mai 2019, la Commission Nationale de l’Informatique et des Libertés (CNIL) a infligé une amende d’un montant de 400.000€ à la société SERGIC sur le fondement du RGPD. Elle lui reproche ainsi un manquement à son obligation de sécurité, mais également une absence de limitation de la conservation des données. De la constatation de ces irrégularités, il est possible de tirer (ou de rappeler) quelques enseignements.

    Dans un premier temps, la formation restreinte relève que « la société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement ». Nombreux sont les manquements à l’obligation de sécurité constatés par la CNIL, comme le démontre la longue liste de sanctions déjà intervenues en la matière.

    Il existe cependant quelques bons réflexes à adopter pour prévenir ces défaillances :

    • Mettre en place une procédure d’authentification:

    Un mécanisme d’authentification demande à l’utilisateur de se connecter à un « espace personnel » afin d’accéder à ses informations, tandis qu’il permet au responsable du site de vérifier qu’un client n’accède qu’aux données le concernant. Cela permet notamment d’éviter les accès non autorisés par simple connaissance de l’URL rendant possible l’affichage des données.

    • Imposer une politique de mot de passe robuste:

    La CNIL n’a de cesse de rappeler les recommandations à suivre, parmi lesquelles : imposer une longueur minimum et une complexité du mot de passe suffisantes au regard des mesures complémentaires choisies (p. ex. blocage des tentatives multiples, captcha, double authentification…), interdire le stockage en clair des mots de passe (que ce soit par l’utilisateur ou par le responsable du site), renouveler régulièrement le mot de passe…

    • Eviter les URL incrémentales, surtout lorsqu’il n’y a pas d’authentification:

    Les URL incrémentales permettent d’accéder à un document distinct par le changement de l’une des valeurs de cette URL. Cela est notamment rendu possible par l’absence de mesure d’authentification car il n’existe pas de contrôle de l’identité du demandeur par le serveur. Ainsi, la mise en place d’un contrôle de droit d’accès permettra à l’API chargée de répondre à la requête de vérifier si ladite requête est légitime pour elle.

    • Chiffrer les données lorsque c’est possible:

    Le chiffrement des données est une mesure élémentaire permettant de garantir l’intégrité, l’authenticité et la confidentialité des données. Il convient dès lors de mettre en œuvre ce type de mesure et de s’assurer qu’elle soit efficace à chaque étape du traitement, de la collecte jusqu’à la destruction des données. Les sites de la CNIL et de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) regorgent de recommandations et conseils en la matière.

    • Empêcher les robots d’indexation d’accéder à tout ou partie du site web:

    L’indexation permet d’accéder à un document par une recherche de type « site :nomdusite.com » + « filetype :pdf » dans un moteur de recherche. L’utilisation d’un « robot.txt » empêchera l’indexation mais n’empêchera pas pour autant l’accès à une URL si elle est connue. Il convient donc de prendre cette précaution en plus des mesures précédemment citées.

    Dans un second temps, la formation constate que « la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements ». S’il est moins fréquent que la CNIL sanctionne le manquement à la limitation de la conservation des données, il ne faut pas pour autant y prêter une attention moindre : le non-respect de ce principe de base du traitement de données personnelles peut faire encourir une sanction s’élevant jusqu’à 4% du chiffre d’affaires annuel mondial.

    Dès lors, il est important d’adopter quelques bonnes pratiques :

    • Définir des durées de conservation spécifiques :

    La durée de conservation des données doit être déterminée au préalable, ou à tout le moins être déterminable. Elle doit être choisie en fonction de la finalité du traitement et doit par ailleurs pouvoir être portée à la connaissance de la personne concernée lors de la collecte ou à sa demande. Dès lors, la rédaction d’une politique de conservation relève des bonnes pratiques à mettre en œuvre, notamment dans le cadre de l’accountability.

    • Respecter le cycle de vie des données:

    Les données doivent avoir une durée de conservation limitée au regard de la finalité du traitement. Cependant, elles pourront revêtir un intérêt administratif, historique, scientifique ou statistique. La CNIL a ainsi identifié un cycle de vie des données : la base active correspond à la durée d’utilisation courante des données ; la base intermédiaire permet la prolongation du délai en cas d’intérêt particulier le justifiant ; enfin, l’archivage définitif concerne la conservation par les archives territorialement compétentes de données présentant un intérêt public justifiant leur non-destruction.

    • Mettre en place une procédure de purge:

    Lorsque les données atteignent la fin de leur durée de conservation, elles doivent être détruites. C’est la raison pour laquelle il est important de mettre en œuvre une procédure de suppression des données qui soit efficace. Cette procédure peut reposer sur un système automatisé ou non, mais elle doit surtout être faite de manière régulière.

    • Sécuriser l’archivage:

    Lorsque des données doivent être archivées, en base intermédiaire ou de manière définitive, il convient de mettre en place des mesures de sécurité adéquates. Cela est par ailleurs particulièrement important en cas d’archives papier (« physiques ») ou en cas de sous-traitance de l’archivage. En effet, les archives doivent être isolées de la base active et ne doivent pouvoir être accédées que par les seules personnes dûment habilitées.

    • Tracer les accès aux archives:

    Les archives intermédiaires et définitives ne doivent pas être accessibles à tous. En effet, les données qui ne seraient plus « utiles » au traitement n’ont pas d’intérêt à être consultées en dehors des raisons administratives ou encore historiques précitées. Cependant, elles peuvent toujours être consultées par la personne concernée dans le cadre de l’exercice de son droit d’accès. Il est ainsi particulièrement important de journaliser les accès aux archives afin de détecter d’éventuels accès illicites, qu’ils soient accidentels ou malveillants.

    Sans être exhaustives, toutes ces mesures constituent de bonnes pratiques à mettre en œuvre par tout responsable de traitement en matière de sécurité et de conservation limitée des données.