I. Motifs de la décision.
1. Les faits.
Dailymotion est une plateforme d’hébergement de contenus vidéo créés par des utilisateurs.
Le 5 décembre 2016, un article a été publié sur le site www.ZDNET.com faisant état d’une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passe d’utilisateurs de la plateforme.
Le 15 décembre 2016, la CNIL a procédé à une mission de contrôle au sein des locaux de Dailymotion.
Cette mission a révélé que l’attaque a été possible car les pirates ont réussi à identifier la présence d’un mot de passe d’un compte de service dans le code source du site internet de Dailymotion (le code source correspond à la liste des lignes de codes qui permettent de développer un site internet. Il est accessible à n’importe quel internaute en effectuant un clic droit avec la souris et en sélectionnant l’onglet « Afficher le code source de la page »). Ce mot de passe leur a permis de s’authentifier dans le système et d’exploiter un bug présent dans le code source afin d’extraire les données des utilisateurs.
Par ailleurs, la mission a mis en exergue le fait que des utilisateurs extérieurs au réseau interne de Dailymotion pouvaient se connecter à distance à ce réseau sans que Dailymotion n’ait mis en place des mesures de sécurisation de ces accès externes à son système d’information.
2. La réglementation relative à la sécurité des données à caractère personnel.
L’article 32 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») dispose que « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
En droit français, les obligations pesant sur les responsables de traitement sont visées à l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cet article prévoit que « le responsable du traitement est tenu de prendre toute précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
3. La position de la CNIL.
La CNIL a relevé deux manquements de la part de Dailymotion à son obligation de sécurité des données.
(i) La présence d’un mot de passe d’un compte de service au sein du code source.
C’est la présence d’un mot de passe d’un compte de service au sein du code source du site internet de Dailymotion qui a permis aux pirates d’exploiter un bug de ce code source et d’extraire les données des utilisateurs.
La société Dailymotion a expliqué que la présence de ce mot de passe en clair (c’est à dire sous une forme non hashée) était nécessaire pour connecter le compte de service afin d’effectuer des tests permettant de contrôler la validité des fonctionnalités d’administration (ce compte de service ne pouvait pas se connecter lorsque le mot de passe apparaissait sous forme hashée – transformée par un algorithme - dans le code source).
Or, la CNIL considère qu’un mot de passe permettant de s’authentifier sur un système ne doit pas être divulgué (ce qui était le cas en inscrivant le mot de passe en clair dans le code source, dès lors que tout un chacun a accès au code source des sites internet). Dailymotion aurait dû trouver une solution permettant de limiter l’accès à ce mot de passe, par exemple en l’injectant en temps réel dans le code source.
(ii) L’absence de mesures de limitation des accès externes à l’administration du système d’information.
Compte tenu de la nature de la plateforme Dailymotion, qui a vocation à permettre à des utilisateurs d’ajouter ou de supprimer du contenu, Dailymotion permettait à des utilisateurs extérieurs à son réseau interne de se connecter à distance à ce réseau. Cependant, ces accès externes n’étaient pas sécurisés.
La CNIL considère que la sécurisation de ces accès externes au réseau constitue une précaution élémentaire pour préserver l’accès au réseau. Cette sécurisation peut être effectuée par la mise en place de mesures de filtrage des adresses IP afin que seules soient exécutées des requêtes provenant d’adresses IP identifiées et autorisées. Cette sécurisation peut également être garantie par l’utilisation d’un VPN, qui permet d’éviter toute connexion illicite, en sécurisant les échanges de données et en authentifiant les utilisateurs.
II. Les recommandations de la CNIL en matière de sécurité des données.
Les recommandations de la CNIL en matière de sécurité des données sont détaillées dans un guide relatif à la sécurité des données personnelles.
Afin de gérer les risques pesant sur la sécurité des données qu’ils traitent, la CNIL recommande aux responsables de traitement et aux sous-traitants agissant pour leur compte :
De recenser les traitements de données à caractère personnel, les données traitées et les supports sur lesquels elles reposent (papier, disques durs, etc.) ;
D’apprécier les risques engendrés par chaque traitement :
• En identifiant les impacts potentiels sur les droits et libertés des personnes concernées (ex : accès illégitimes à des données pouvant entraîner des usurpations d’identité)
• En identifiant les sources de risques (ex : virus informatique)
• En identifiant les menaces réalisables (ex : perte d’un ordinateur portable contenant des données à caractère personnel)
• En déterminant les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : les contrôles d’accès permettent de limiter l’accès aux données à caractère personnel dans l’hypothèse de la perte d’un ordinateur portable contenant les données à caractère personnel)
• En estimant la gravité et la vraisemblance des risques au regard des éléments précédents
De mettre en œuvre et vérifier les mesures de sécurité prévues ;
De réaliser des audits de sécurité périodiques.
En outre, la CNIL a établi et détaillé une liste non exhaustive des mesures que peuvent mettre en place les responsables de traitement et les sous-traitants pour garantir la sécurité des données. Au titre de ces « précautions élémentaires », il convient de :
1. Sensibiliser les utilisateurs : organiser des formations, mettre en place des procédures relatives aux traitements des données, rédiger une charte informatique contraignante rappelant notamment les modalités d’utilisation des outils informatiques permettant de préserver la sécurité des données.
2. Authentifier les utilisateurs : les utilisateurs doivent avoir un identifiant unique (les comptes partagés sont à prohiber) et leur authentification doit être basée sur des mots de passe dont le niveau de complexité recommandé dépend du contenu auquel l’authentification peut donner accès. Ce mot de passe doit être régulièrement renouvelé. En cas de non renouvellement, il est conseillé de prévoir une procédure de blocage du compte.
3. Gérer les habilitations : l’accès aux données doit être strictement limité aux seules personnes dont les missions requièrent un tel accès (ex : les RH doivent pouvoir accéder à un certain nombre de données relatives aux salariés). Par conséquent, il est recommandé de définir les accès aux données en fonction d’habilitations notamment informatiques. Ces habilitations doivent être mises à jour régulièrement afin de coïncider avec les évolutions de la vie de l’entreprise (ex : promotions).
4. Tracer les accès et gérer les incidents : il est recommandé de tracer l’usage des ressources informatiques, en ce sens que les connexions à l’infrastructure informatique doivent être enregistrées afin de pouvoir identifier la personne à l’origine de la connexion et la périodicité de cette connexion. Cette « journalisatio » des connexions permet notamment d’identifier les connexions abusives et non autorisées. Cette mesure constituant une surveillance des salariés, il conviendra bien entendu de respecter les dispositions du Code du travail avant son implémentation (consultation des représentants du personnel, information des salariés, etc.).
5. Sécuriser les postes de travail : au titre des mesures élémentaires à mettre en place, il convient notamment de prévoir un verrouillage automatique des sessions, d’installer un « pare-feu » et des antivirus à mettre régulièrement à jour.
6. Sécuriser l’informatique mobile : les postes mobiles doivent être régulièrement synchronisés et leur contenu sauvegardé afin de limiter le risque de perte de données dans l’hypothèse d’un vol de ces postes. Les postes mobiles doivent être sécurisés au moyen de mots de passe.
7. Protéger le réseau informatique interne : il est possible de bloquer l’accès à certains sites internet (notamment pour empêcher le téléchargement de certains fichiers potentiellement dangereux). Les réseaux Wi-Fi doivent être sécurisés afin de limiter le risque de connexions externes à ces réseaux. Les réseaux ouverts aux « invités » doivent être séparés du réseau interne. Les connexions à distance doivent être soumises à des procédures d’authentification (autorisations fondées sur l’identification d’adresses IP).
8. Sécuriser les serveurs : seules les personnes habilitées doivent accéder aux interfaces d’administration. Ces interfaces, et plus généralement toutes les bases de données, doivent être sécurisées par la mise en place d’une politique de mots de passe. Il convient d’effectuer des sauvegardes des données régulièrement et d’effectuer les mises à jour des systèmes et applications.
9. Sécuriser les sites web : le protocole TLS doit être mis en œuvre afin de sécuriser la transition des données à caractère personnel, notamment lorsqu’elles sont non publiques et communiquées dans le cadre de formulaires ou de pages d’authentification.
10. Sauvegarder et prévoir la continuité d’activité : il convient de sauvegarder fréquemment les données, que celles-ci soient sous forme papier ou électronique, et de stocker ces sauvegardes sur un site extérieur en protégeant leur accès (ex : chiffrement des données sauvegardées). Un plan de reprise et de continuité d’activité informatique doit être élaboré afin de minimiser la perte de données dans le cadre d’un sinistre informatique et d’assurer la reprise rapide de cette activité.
11. Archiver de manière sécurisée : en vertu du principe de limitation de la conservation des données prévu à l’article 5 du RGPD, il convient de limiter la conservation des données jusqu’à ce que l’objectif au regard duquel elles sont collectées et traitées soit atteint. Toutefois, une conservation des données plus longue peut être justifiée (ex : les données sont indispensables pour faire valoir un droit en justice). Dans cette hypothèse, il est conseillé d’archiver les données afin d’assurer un accès restreint à ces données par l’isolement de ces données par rapport aux données « actives » (c’est-à-dire les données dont la collecte est faite au regard d’une finalité qui n’a pas encore été atteinte). Par conséquent, un processus de gestion des archives doit être défini et des modalités d’accès aux données archivées doivent être fixées.
12. Encadrer la maintenance et la destruction des données : lorsque les opérations de maintenance sont sous-traitées à un prestataire, il convient de déterminer contractuellement ses obligations, notamment en termes de sécurité et de confidentialité des données. Les interventions de ce prestataire doivent être supervisées et inventoriées.
13. Gérer la sous-traitance : les sous-traitants doivent présenter des garanties suffisantes en matière de sécurité des données (ex : ils doivent être en mesure de présenter une politique de sécurité des systèmes d’information). Les obligations et responsabilités des sous-traitants doivent être déterminées dans le contrat de prestation de service, conformément aux exigences prévues à l’article 28 du RGPD (accord écrit, détermination de la nature et l’étendue du traitement de données confié, de l’obligation de confidentialité, des modalités du recours à la sous-traitance ultérieure, des modalités de suppression des données à l’issue de la mission, etc.). Il est également recommandé de procéder à des audits réguliers des sous-traitants.
14. Sécuriser les échanges avec d’autres organismes : les données envoyées d’un organisme à un autre doivent être protégées, a fortiori lorsque ces données sont sensibles. Il est recommandé d’utiliser des canaux distincts pour adresser d’une part le fichier contenant des données à caractère personnel et d’autre part la clé permettant d’ouvrir ce fichier (ex : le mot de passe).
15. Protéger les locaux : l’accès aux locaux doit être restreint aux personnes habilitées (ex : clés, codes, badges, technologies biométriques). Il est possible de prévoir une surveillance des locaux pour autant que cette surveillance soit conforme aux dispositions du Code du travail (vidéosurveillance, télésurveillance). Enfin, la sécurité des locaux peut également être garantie par la mise en place de détecteurs de fumée et l’installation d’extincteurs.
16. Encadrer les développements informatiques : l’article 25 du RGPD consacre les principes de protection des données dès la conception et par défaut. Ces principes impliquent la prise en compte de la protection des données aux prémices du développement d’un nouveau projet (ex : développement d’un nouveau service, mise en place d’une nouvelle technique de marketing, conception d’un nouveau logiciel ou application). A ce titre, les données collectées doivent être limitées à celles qui sont strictement nécessaires pour atteindre la finalité au regard de laquelle elles sont collectées (ex : il n’est pas envisageable de recueillir des informations relatives au revenu d’une personne lorsque ses données sont collectées afin de lui adresser des offres commerciales). Cette exigence implique notamment d’éviter le recours à des zones de commentaires libres qui ne permettent pas d’assurer un traitement objectif des données.
17. Chiffrer, garantir l’intégrité ou signer : le chiffrement permet de rendre confidentielle une donnée. Ainsi, dans l’hypothèse où une personne non autorisée accède à cette donnée, elle ne pourra pas en prendre connaissance sans clé de déchiffrement. Les fonctions de hashage permettent quant à elles d’assurer l’intégrité des données (un algorithme va proposer une empreinte encodée d’une donnée qui a pour fonction d’empêcher la lecture de la version originale de cette donnée). Enfin, les signatures numériques ont vocation à assurer l’intégrité, la provenance et l’authenticité de la donnée.
A l’heure où les sanctions de la CNIL pour atteinte à la sécurité des données se multiplient [1], il est vivement recommandé aux organismes de faire un état des lieux des mesures de sécurité qu’ils ont mises en place et d’en vérifier l’efficacité.