Ces inquiétudes semblent justifiées à la lecture des dernières délibérations rendues par la Commission qui sont marquées par une sévérité accrue.
Six délibérations ont été rendues en moins de trois mois (mai-juin-juillet 2018), avec pour certaines des amendes allant de 30.000 à 250.000 euros. Startup, établissement public, école ou encore association - basés à Paris ou en province - la CNIL semble bien avoir élargi son champ d’action pour ne plus se concentrer uniquement sur les Gafa et autres sociétés commerciales.
Certes, les enquêtes ont été instruites par la CNIL avant mai 2018 et nous sommes encore loin des 20 millions d’euros d’amende. Toutefois, la tendance se dessine…
Optical Center : 250.000 euros pour défaut de sécurité.
La société – spécialisée dans le commerce de détail d’optique - a été une nouvelle fois condamnée [1] pour manquement à son obligation de sécurité des données personnelles des clients achetant en ligne à partir de son site internet. En l’espèce, la CNIL a découvert qu’il était possible d’accéder à une partie de l’extranet (les espaces personnels clients) du site d’optical-center depuis un navigateur internet et sans autorisation (authentification) préalable. Ce défaut de sécurité a rendu accessible pendant plusieurs mois des centaines de factures clients, comportant les nom, prénom, adresse postale, date de naissance ainsi que des données plus sensibles telles que la correction ophtalmologique et le NIR.
Optical Center a estimé que la sanction pécuniaire proposée par le rapporteur était disproportionnée au motif que : (i) le manquement n’était pas intentionnel, (ii) aucun dommage ne semblait avoir été subi par les clients concernés, (iii) elle et son sous-traitant ont été réactifs et (iv) elle a coopéré tout au long de la procédure. Le montant de l’amende a néanmoins été confirmé.
Association pour le Développement des Foyers : 75.000 euros pour défaut de sécurité.
L’ADEF (ayant pour mission la mise à disposition de logements en Ile-de-France dans des résidences et foyers pour personnes en difficulté sociale) a été sanctionnée pour manquement à son obligation de sécurité et de confidentialité des données personnelles. Le défaut de sécurité de son site internet permettait d’accéder à des avis d’imposition sur les revenus des bénéficiaires, à partir d’une recherche effectuée sur le moteur de recherche Google. Ces documents étaient enregistrés par les internautes via le formulaire de demande de logement en ligne.
La CNIL a alors considéré que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site web. Dans sa délibération, la Commission a pris en compte la bonne coopération de l’association mais a néanmoins relevé que la gravité de la violation était constituée au vu du nombre de documents concernés (plus de 40.000) et de leurs natures (passeports, titre de séjour, bulletins de salaire, avis d’imposition, attestation de paiement CAF, etc. ).
Dailymotion : 50.000 euros pour défaut de sécurité.
La plateforme de partage de contenus vidéos en ligne a été condamnée pour manquement à son obligation de sécurité des données personnelles (présence de mot de passe au sein du code source de la plateforme collaborative GitHub). En l’espèce, Dailymotion a subi une violation de données résultant d’une attaque informatique et concernant 82,5 millions d’adresses emails d’utilisateurs ainsi que 18,3 millions de mots de passe chiffrés. Tout en soulignant que l’attaque subie par la société était sophistiquée, la CNIL a néanmoins relevé qu’elle n’aurait pas pu aboutir si certaines mesures de sécurité élémentaires avaient été mises en place.
Il convient de noter que Dailymotion a été condamnée alors même qu’aucun utilisateur ne revendique avoir subi un préjudice du fait de cette fuite de données.
Il est intéressant de souligner que, dans ces trois délibérations, c’est la sécurité des sites et plateformes web des sociétés qui sont remises en cause. Par ailleurs, la CNIL prend systématiquement soin de justifier le caractère public des décisions « compte tenu du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques sur la sécurité des données ».
Office Public de l’Habitat de Rennes : 30.000 euros pour détournement de finalité.
L’OPH de Rennes Métropole Archipel Habitat (ayant pour activité la construction, la gestion et la location de logements sociaux) a été sanctionné pour traitement de données incompatible avec la finalité initiale.
En effet, les adresses emails des locataires de l’OPH ont été utilisées par sa directrice (également Maire de la ville de Rennes) afin de diffuser un message politique critique suite à l’annonce du gouvernement concernant la baisse à venir des APL. Or, ces adresses emails devaient être utilisées uniquement pour que l’OPH exerce sa mission (ex. instruction des demandes de logements sociaux et suivi social personnalisé de certains locataires) et non à des fins politiques.
En outre, le message litigieux a été adressé à l’ensemble des locataires de l’OPH – sans distinguer les personnes bénéficiaires ou non d’APL. Le caractère intentionnel du manquement à la Loi et le nombre important de locataires concernés (16.000 logements sociaux en cause) ont justifié la publication de la délibération CNIL.
Institut Techniques Informatiques et Commerciales : mise en demeure pour vidéosurveillance excessive.
Cette école privée d’enseignement supérieur basée à Paris a été sanctionnée pour de nombreux manquements à la Loi concernant son dispositif de vidéoprotection (40 caméras).
La CNIL lui reproche notamment : (i) d’avoir filmé en continu les lieux de vie des étudiants et les postes de travail de certains employés, (ii) un défaut d’information du personnel de l’établissement et des visiteurs, (iii) un défaut de sécurité des postes informatiques permettant de visionner les images en temps réel et enregistrées et (iv) une durée excessive de conservation des images (49 jours). L’institut dispose de deux mois pour se mettre en conformité à la Loi. A suivre donc…
Les startups Fidzup TeemoIDZUP : mise en demeure pour défaut de consentement.
Ces deux sociétés ont développé des solutions permettant de collecter des données de géolocalisation et de réaliser des campagnes publicitaires sur mobiles. Elles ont été mises en demeure pour avoir traité des données de géolocalisation d’utilisateurs de smartphones, sans leur consentement.
En effet, bien que les utilisateurs aient donné leur consentement, la CNIL considère que celui-ci n’est pas valable dans la mesure où il ne respecte pas les exigences légales, à savoir un consentement informé, libre et spécifique. Les utilisateurs ignorant notamment que les données serviraient à des fins de profilage et ciblage publicitaire. Ces deux sociétés ont trois mois pour se conformer à la règlementation applicable. A suivre donc…