Par délibération de la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) du 13 avril 2017, la société Allocab fut sanctionnée pour manquement à ses obligations de responsable de traitement. Une sanction rendue publique notamment compte tenu du faible degré de coopération mis en œuvre par la société Allocab eu égard à l’autorité de contrôle française.

Parmi les 7.908 plaintes reçues par la CNIL en 2015, l’une d’entre-elles au moins, concernait les services d’Allocab. Cette société française, fondée en 2011, fonctionne sur le même principe qu’Uber : elle propose des services VTC au travers d’un réseau de chauffeurs partenaires. Outre les partenariats signés avec ses chauffeurs partenaires, la principale valeur de ce type de société réside dans sa base client ainsi que dans sa plateforme de réservation de courses. Le traitement de données à caractère personnel est donc essentiel dans l’activité d’Allocab.

La plainte à l’encontre de cette société fut adressée à la CNIL par l’un de ses clients, soucieux de la conservation de ses coordonnées bancaires. Cette plainte donna lieu, en mars 2015, à un contrôle de la Commission, ayant constaté par procès-verbal plusieurs manquements de la part de la société Allocab, dont notamment :
 absence de détermination de durées de conservation (et notamment en matière de cryptogrammes de cartes de paiement) sur le fondement de l’article 6-5° de la loi du 6 janvier 1978 modifiée ;
 mesures de sécurité inadéquates, notamment en matière de gestion des mots de passe (conservation en clair, communication en clair dans le courrier électronique de confirmation de création de compte, absence de robustesse imposée) sur le fondement de l’article 34 de la loi du 6 janvier 1978 modifiée.

Cette délibération vient sans conteste rappeler, s’il le fallait, que les plaintes sont une source de risques pour l’ensemble des responsables de traitement. Bien que « seulement » 15% des contrôles de la CNIL soient initiés suite à des plaintes, les sanctions publiques prononcées par la Commission font souvent état de plaintes comme étant à l’origine des dits contrôles. Ainsi, sur l’exercice 2016, 50% des sanctions pécuniaires ou avertissements publics prononcés par la CNIL trouvaient leur origine dans une plainte et/ou un signalement adressé par un tiers à l’Autorité.

Revenons à notre affaire. Tandis que la société Allocab disposait d’un délai de 3 mois pour conformer ses traitements de données à la loi, ses échanges avec l’Autorité démontrent que 10 mois plus tard, elle ne s’était pas encore totalement mise en conformité.

Conformément à ses pratiques habituelles, la CNIL diligenta un nouveau contrôle sur place auprès d’Allocab en décembre 2016 (soit, faut-il le souligner, presque deux ans après la plainte initiale), et constata à cette occasion des manquements persistants à la loi. Ce n’est qu’à compter du 13 février 2017, par constat d’huissier, qu’Allocab sera pleinement en conformité, en intégrant notamment les mécanismes suivants :
 mise en place d’une purge automatique des données pour tous les comptes inactifs depuis 15 mois ou plus ;
 cessation de la conservation des cryptogrammes de carte de paiement en collaboration avec son prestataire de paiement, sans que cela n’affecte la qualité de service ;
 cessation de l’envoi en clair de mots de passe (notamment dans le courrier électronique de confirmation de création de compte) ;
 mise en place d’une politique de gestion des mots de passe (les clients sont forcés de sélectionner un mot de passe suffisamment robuste lors de sa création, stockage encrypté, etc.).

Aucune de ces mesures n’est particulièrement innovante. Ce sont là des actions de conformité classiques, conformes aux attentes de la règlementation et de la CNIL. Ainsi, en matière de traitement de données de cartes de paiement, l’Autorité publie des recommandations depuis 2003, qui furent actualisées en 2013. A cet effet, la CNIL considère que « la conservation du cryptogramme est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs ». D’autres entités avaient d’ailleurs fait l’objet d’avertissements publics pour ce même grief, à l’image de la Fnac qui conservait dans sa base de données plus de 780 000 cryptogrammes visuels de cartes bancaires en cours de validité, utilisés par ses clients lors de transactions antérieures, ou encore Cdiscount, qui faisait figurer des données bancaires (cryptogramme inclus) en clair dans les champs commentaires de sa base de données.

En matière de gestion de mots de passe, et bien que la CNIL n’eût pas encore adopté sa délibération spécifiquement dédiée aux mots de passe lors de la constatation des manquements de la société Allocab, ses attentes en la matière étaient pour autant parfaitement explicites, au travers de ses précédentes publications écrites (guides, délibérations, etc.) [1].

Il reste à cet égard particulièrement intéressant de constater que la société Allocab tenta d’affirmer, pour sa défense, que les dispositions de l’article 34 de la loi du 6 janvier 1978 modifiée n’apportent aucune précision pratique quant aux mesures de robustesse des mots de passe qui seraient en pratique attendues par la CNIL. Dès lors, elle considérait que le grief lui était inopposable. Et il est vrai que l’article 34 fixe des principes généraux sans précisions pratiques : « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Pour autant, la formation restreinte de la Commission écarta, sans s’y attarder, cette inopposabilité, considérant que le dispositif de mise en demeure adressé à Allocab était sans ambiguïté.

Autre élément intéressant de cette délibération et émanant une fois de plus de la défense d’Allocab : les critères quantitatifs. Allocab tenta en vain de minimiser sa responsabilité en indiquant qu’à date du second contrôle, seuls 10 utilisateurs inactifs étaient concernés par l’absence de suppression de leurs données. Mais une fois de plus, et sans réellement s’y attarder, la formation restreinte de la CNIL écarte cet élément en indiquant « qu’il n’y a pas lieu de minimiser le nombre de comptes non purgés ou de cryptogrammes conservés, dès lors que le délai de mise en conformité était largement expiré et qu’aucun cryptogramme n’aurait dû être stocké par la société à cette date ».

Malgré des difficultés de communication avec Allocab et une lenteur certaine dans les travaux de mise en conformité, la formation restreinte de la CNIL a pourtant bien fait application lors de sa délibération du principe de proportionnalité, eu égard à la gravité du manquement commis et aux avantages tirés de celui-ci [2]. En effet, bien que le rapporteur proposait initialement une sanction pécuniaire de 50 000 euros rendue publique, Allocab écopera finalement d’une amende de 15 000 euros, elle aussi rendue publique. Une sanction qui aurait certainement pu être évitée par cet acteur privé français, s’il avait su se mettre en conformité dans de meilleurs délais.

Un montant qui reste pour autant quasi-symbolique, lorsque le risque d’amende maximale est depuis la loi du 7 octobre 2016 porté à 3 millions d’euros.

Le 25 avril 2017, date de publication sur Legifrance de la délibération de la Commission, la société Allocab publiait un communiqué sur son site internet. Outre souhaiter rassurer les clients de la société, Allocab considère également que « travailler en collaboration avec la CNIL nous a finalement permis d’améliorer le niveau de sécurité de notre service et de protéger parfaitement les données personnelles de nos utilisateurs ». Outre la symbolique de la sanction financière, n’est-ce finalement pas là tout l’intérêt de l’action de la Commission ?

Data Protection Officer - OVH Group @florentgastaud www.florentgastaud.fr

Comentaires:

• 
  très bon article très utile., summa, 8 mai 2017

  Je vais utiliser votre décision CNIL contre le site JIMDO qui m’a débitée sans m’en avertir de 78 € pour le renouvellement d’un site que je ne voulais pas renouveler.

  Il me font trainer depuis un mois.

  Et cela a été fait plus d’un mois avant l’échéance.
• 
  Sans titre, Marcorel, 18 mai 2017

  C’est un bon exemple de dérive de ces sociétés privées qui ont été autorisées à proposer de tels services au nom du Libéralisme économique. L’Etat s’efface mais reste en apparence, les acteurs privés ont la liberté d’agir, et si l’Etat voit des excès, il inflige une sanction pour la forme.

  C’est pareil pour les fusions-acquisitions, on laisse faire ces fusions sans contrôle préalable, et après la fameuse Commission vient sanctionner. Or, la sanction est extrêmement moindre par rapport au résultat net de l’entreprise absorbante. De même pour les restaurants qui dépassent la zone autorisée sur le trottoir, leur amende est moindre donc ils continuent car c’est rentable.

  Toute la question est celle de la légitimité du Libéralisme omnipotent, et de l’effacement de l’Etat qui va avec, comme on le voit avec les modes alternatifs de règlement des litiges qui étaient, il y a 20 ans, presque inconcevables pour les litiges quotidiens en dehors de l’arbitrage.

  Or, si l’on se réfère aux théories économiques libérales des XIX et XXe siècles, on s’aperçoit que leur légitimité est fondée sur des motifs religieux, comme avec la main invisible qui n’est autre que la main de dieu.

  Quiconque s’oppose à une ubérisation sera traité de réactionnaire par les libéraux qui considèrent que l’ubérisation a existé de tous temps, évinçant ainsi toute l’Histoire d’un revers de main

  PS : c’est Marco du foot en salle à Port Royal ^^