Le 7 août 2014, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné l’opérateur historique Orange pour défaut de sécurité des données personnelles dans le cadre d’opérations marketing, par un avertissement public.
Le 18 avril dernier, Orange a découvert un accès illégitime sur une plateforme technique d’envoi de courriers électroniques et de SMS ayant entrainé une fuite de données concernant environ 1.340.000 de ses clients. Cette intrusion dans le serveur d’un prestataire en charge de certaines campagnes de marketing direct pour Orange a entrainé la fuite de données telles que les noms, prénoms, dates de naissance, adresses électroniques et les numéros de téléphone fixes et mobiles des clients.
Au vu de l’importance de la faille et de l’opérateur, la CNIL a décidé de réaliser des contrôles sur place, chez Orange, son sous-traitant et son prestataire secondaire. Les contrôles ont permis de relever qu’aucun audit de sécurité n’avait été réalisé, que la transmission des données était effectuée par courriels non sécurisés et qu’aucune mesure de sécurité appropriée n’avait été imposée au prestataire secondaire.
Sur ces constats, la formation contentieuse de la CNIL a considéré que l’opérateur n’avait pas respecté les exigences de sécurité imposées par la loi « Informatique et Libertés » et a prononcé un avertissement public à son encontre.
La notification de failles de sécurité
Bien qu’avec un peu de retard, mais conformément à l’article 34bis de la loi « Informatique et Libertés », Orange a notifié la faille à la CNIL. Dans les semaines suivantes, Orange a communiqué cette faille à ses clients concernés, puis au public.
La notification de failles de sécurité est une obligation imposée aux opérateurs de communications électroniques, issue de la dernière révision du Paquet Telecom adoptée en novembre 2009 et transposée en droit français par ordonnance en août 2011. La directive 2009/136/CE modifiant la directive « vie privée et communications électroniques » de 2002, prévoit donc une obligation de notification de ces failles au regard de la nécessaire protection des données personnelles transitant en masse sur les réseaux de communications électroniques. L’Europe n’est cependant pas novatrice en la matière puisque la Californie a en premier adopté une disposition au Code civil imposant la révélation d’incidents de sécurité. Suivie dans de nombreux États puis au niveau fédéral, cette notification est devenue la pierre angulaire de la régulation et de la répression en matière de données personnelles aux Etats-Unis.
Le droit européen définit la « violation de données à caractère personnel » comme
« une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté ».
Lorsqu’une violation est constatée, celle-ci doit être notifiée à l’autorité compétente et, si elle « est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier », l’opérateur doit informer également les personnes concernées, sauf si l’autorité en décide autrement à la vue des éléments sur la faille dont elle a connaissance. Lorsqu’il sera adopté, le projet de règlement européen (art. 31 et 32) sur les données personnelles étendra cette obligation à tous les responsables de traitement.
Ceci étant, l’obligation de notification n’exonère pas l’opérateur de sa responsabilité sur les dommages créés. Des lors, il est soumis aux autres dispositions de la loi « Informatique et Libertés » et s’expose à des contrôles sur place et à des sanctions.
Cependant, on peut s’interroger sur la procédure de contrôle puis de sanction qui a été menée contre Orange, alors même que l’opérateur a été transparent et respectueux de la loi.
L’auto-incrimination
La directive européenne et l’article 34bis de la loi « Informatique et Libertés » imposent aux opérateurs de dénoncer leur propres failles de sécurité auprès de l’autorité compétente et d’apporter les éléments de preuve de leur défaillance, mais également (si possible) de leur repentance.
Cependant, cette procédure semble aller à l’encontre principe fondateur, celui d’avoir le droit de ne pas s’auto-incriminer. Or, les dispositions légales visées obligent l’opérateur à fournir ces éléments. La transposition de la directive en droit interne effectuée par voie d’ordonnance n’a pas permis au Parlement de débattre sur la validité d’un tel dispositif, pourtant fondamental. Peut-être qu’une question prioritaire de constitutionnalité pourra être soulevée à l’avenir afin de trancher cette question.
Ce moyen a d’ailleurs été soulevé par Orange et éludé par la CNIL très rapidement. Cette dernière a considéré qu’il n’y avait pas d’auto-incrimination puisque la sanction se fonde sur les éléments constatés lors des contrôles et non sur ceux apportés par Orange.
Si, techniquement, il est fort probable que les pièces examinées par la formation contentieuse de la CNIL proviennent exclusivement des constats réalisés lors des contrôles, il n’en demeure pas moins que les indices très forts ont été mis à la disposition des contrôleurs lors de la notification de la faille. Ils n’avaient donc plus qu’à constater sur place ce qui avait été annoncé et creuser en ce sens pour trouver les éléments probant matérialisant un défaut de sécurité.
Ainsi, la procédure contentieuse a légalement été engagée par la Commission, mais aurait-elle été initiée si Orange n’avait pas notifié la faille ? (Le défaut de notification pouvant également être sanctionné).
La sécurité : de la précaution utile vers l’obligation d’audit
La sanction de la CNIL se fonde uniquement sur l’interprétation de l’article 34 de la loi « Informatique et Libertés » :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Comme la Commission le précise dans sa délibération, il s’agit d’une obligation de moyen au regard des données traitées en prenant les « précautions utiles », « au regard de la nature des données et des risques présentés ».
En l’espèce, la Commission a relevé que le contrat encadrant le traitement incriminé ne prévoyait pas les mesures de sécurité du deuxième prestataire, alors qu’Orange avait connaissance de son existence. Il s’agit effectivement d’une erreur manifeste dans la conclusion du contrat de la part d’Orange qui entraine la défaillance de son prestataire. En tant que responsable de traitement, l’opérateur est légalement tenu de s’assurer du niveau de protection et de sécurité des données lorsqu’il soustraite certaines actions, ce qu’il doit répercuter dans le contrat afin de s’assurer d’un report partiel de responsabilité.
La deuxième défaillance est celle de la transmission en clair et par courriel des fichiers de données client. Nul besoin d’en rajouter, les faits démontrent la négligence d’Orange.
Enfin, la CNIL relève qu’Orange n’a pas réalisé d’audit de sécurité avant d’avoir recours à ces prestataires. Cet élément intrigue car aucune obligation d’audit n’est requise par la loi ou le règlement en la matière. Généralement, les contrats (lorsqu’ils sont bien rédigés, sic) peuvent prévoir des audits réguliers pour s’assurer que les mesures de sécurité sont satisfaisantes. On peut alors s’étonner que la CNIL ait retenu ce moyen pour sanctionner Orange (les deux éléments précédents suffisaient), voire s’en inquiéter. En effet, cette décision pourrait suggérer qu’un audit de sécurité soit obligatoire des lors que des données sont partagées entre partenaires, responsables de traitement et prestataires.
Cette obligation suggérée n’est évidemment pas tenable compte tenu de tous les partenariats qu’entretiennent les opérateurs et de la nature même de l’activité économique générée par les communications électroniques. Il serait dès lors dangereux que le régulateur tende vers une sur-interprétation de l’article 34 de la loi « Informatique et Libertés », transformant de fait la mise en œuvre de précaution utiles afin d’assurer la sécurité des données en une obligation de résultat. Nul doute que cette tendance serait alors contestée devant le Conseil d’état.
Une sanction en opportunité
Dans un contexte ou les failles de sécurité croissent de manière exponentielle (voir cette infographie sur les failles de sécurité majeures), la sanction prononcée par la CNIL était nécessaire. Orange avait d’ailleurs connu une autre faille en janvier 2014, touchant 800.000 clients et n’avait pas été sanctionnée. L’important pour la CNIL était donc de rendre public une sanction contre un acteur majeur afin de forcer les entreprises à élever leurs standards de sécurité, mais également d’assumer son rôle de « gendarme » en la matière, dans l’attente du règlement européen qui imposera a tous les responsables de traitement les mêmes obligations de notification.
Par conséquent, la CNIL, avec les moyens qui lui sont accordés par la loi, a fait ce que l’on attendait d’elle : sanctionner la perte de nos données. Par cette sanction, elle a cependant soulevé le doute sur l’opportunité, pour l’entreprise, de notifier une faille de sécurité. Nul doute qu’une analyse de risques sera menée par le prochain opérateur victime d’une faille : résoudra-t-il la faille et s’exposera-t-il à des contrôles et sanctions ? ou résoudra-t-il rapidement la faille sans notifier l’autorité et les clients en espérant ne pas être vu ? En termes de sanction, le résultat sera le même puisque les articles 45 et 46 de la loi « Informatique et Libertés » s’appliquent aux deux manquements. En revanche, le risque « relations publiques » reste à être évalué en interne. Il reste cependant à espérer que cette sanction ne soit pas la pierre angulaire d’une nouvelle doctrine de la CNIL transformant l’article 34 d’une obligation de moyen en une obligation de résultat…