Évoquer la sécurité en matière informatique nécessite d’avoir une vision « 360»quelque soit l’origine d’une faille : erreur humaine exceptionnelle, architecture technique devenue obsolète, intrusion d’un hacker (plus ou moins) zélé…En amont d’une part, afin de prévenir la potentialité d’une faille ou être en mesure de la détecter. En aval d’autre part, afin de la corriger en cas de survenance et y mettre un terme avec la meilleure des célérités possibles en l’état de la technique. 

Dans ce cadre, dire que la sécurité des traitements est un des sujets phares de la CNIL relève désormais du lieu commun, tant les écrits de cette dernière sont nombreux. Dans le souci de préciser les termes de l’article 32 « Sécurité du traitement du RGPD », la CNIL s’est ainsi prononcée, sous forme de recommandations et de décisions (notamment de sanctions) sur deux catégories principales de sujets : d’une part, sur l’absence de sécurisation satisfaisante d’un système informatique, permettant un accès facilité à des données confidentielles (protocoles obsolètes ou insuffisants) ;d’autre part, sur l’absence d’implémentation d’un système permettant d’être alerté d’une anomalie. La présente décision se situe entre ces deux hypothèses.

En l’espèce, une société a été victime d’une attaque dite de « credential stuffing ». A titre exhaustif, le credential stuffing est une pratique d’attaque informatique décrite par la CNIL comme suit : « une personne malveillante récupère des listes d’identifiants et de mots de passe « en clair » publiées sur Internet, généralement à la suite d’une violation de données et partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (l’adresse courriel) pour différents services, l’attaquant va, grâce à des « robots », tenter un grand nombre de connexions sur des sites. Lorsque l’authentification réussit, cela lui permet de prendre connaissance des informations associées aux comptes en question. ».

La société ayant mis un an pour développer un outil permettant de détecter et de bloquer les attaques lancées, la CNIL est entrée en voie de condamnation non seulement à l’égard du responsable de traitement mais également de son sous-traitant. Elle a, en effet, considéré que des mesures temporaires auraient permis d’éviter une telle atteinte afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes dont le nombre estimé était de 40.000 clients sur une période de 11 mois. Cette décision intéresse à trois titres.

Le premier intérêt de cette décision concerne naturellement l’objet même de la sanction portant, non pas sur l’existence de la faille, mais sur l’absence de réactivité pour la faire disparaître… ou, à tout le moins, l’atténuer. Plus précisément, ce qui est reproché au responsable de traitement est d’avoir « tardé », c’est-à-dire de ne pas avoir pris des mesures suffisantes une fois informé(appelées « solutions de contournement » en matière informatique). Il sera donc souligné qu’à aucun moment, la décision ne sanctionne le fait d’avoir subi une attaque: on peut donc supposer que la CNIL a estimé suffisantes les mesures de sécurité mises en œuvre, lorsque les attaques ont été subies.

Dans un souci de pédagogie, la CNIL prend le soin d’anticiper toute critique d’avoir pris une décision « y a qu’à / faut qu’on », en précisant des mesures techniques concrètes et raisonnables pour crédibiliser son propos, à savoir la limitation du nombre de requêtes autorisées par adresse IP sur le site web ou l’apparition d’un CAPTCHA.

Le deuxième intérêt de cette décision porte sur la nature des personnes sanctionnées. Ainsi, la CNIL est entrée en voie de sanction pour un montant global de 225.000 euros et ce, à la fois contre le responsable de traitement mais également son sous-traitant, sur la base d’une répartition respectivement de deux-tiers / un tiers. Ainsi, le responsable de traitement est sanctionné « à titre principal » à hauteur de 150.000 euros, la CNIL considérant que ce dernier « doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant » ; le sous-traitant l’est également à hauteur de 75.000 euros pour ne pas avoir « [recherché] les solutions techniques et organisationnelles les plus appropriées pour assurer la politique de publication sécurité des données personnelles, et les [avoir proposé] au responsable de traitement. ».

Aucune conclusion hâtive ne devra être tirée sur le montant de cette sanction ou sur sa répartition, en l’absence de précision sur l’intervention exacte du sous-traitant concerné : nous penserions néanmoins regrettable que la CNIL en vienne à sanctionner « par principe » un responsable de traitement si celui-ci a respecté toutes les obligations mises à sa charge par le RGPD. On pense notamment (i) au choix d’un sous-traitant présentant des garanties suffisantes, (ii) à la contractualisation dans les conditions visées à l’article 28 du RGPD et (iii) au suivi régulier de ce contrat pour s’assurer de la conformité de la prestation à la réglementation.

Le dernier intérêt de cette décision porte sur les modalités de sa diffusion puisque la CNIL a fait le choix de ne pas rendre sa décision publique, le présent commentaire étant établi sur la base d’une publication officielle de l’autorité.

En effet, la CNIL a décidé de « communiquer sur ces décisions pour alerter les professionnels sur la nécessité de renforcer leur vigilance concernant les attaques par credential stuffing, et de développer, en lien avec leur sous-traitant, des mesures suffisantes pour garantir la protection des données personnelles. » : en d’autres termes, la CNIL a considéré que dévoiler l’identité des personnes sanctionnées ne présentait pas d’intérêt particulier mais que faire état de cette décision pourrait permettre de limiter de potentielles atteintes à venir.

Certes, la curiosité juridique du public (et du commentateur) ne sera pas satisfaite et quelques questions restent encore en suspens. Mais cette discrétion sera considérée comme une mesure de pondération salutaire de la CNIL, dans la ligne de sa mission d’ « informer et protéger » et celle d’ « accompagner et conseiller ».

En conclusion, « le mieux est l’ennemi du bien » … y compris en matière de sécurité informatique !Les responsables de traitement et sous-traitants pourront ainsi faire usage de cet adage pour privilégier des mesures rapides et substantielles efficaces, dans l’attente de la mise en œuvre à court terme de mesures définitives dont la durée d’implémentation serait trop importante.

Olivier Hayat, Avocat associé, Cabinet DELCADE