250 000 € d’amende contre « Bouygues Telecom » : une sanction très instructive sur le niveau de sécurité attendu dans l’ère RGPD

30 Jan 2019
William BAFFARD et Marc LEBRUN
908
0

Le 26 décembre 2018, la formation restreinte de la CNIL a prononcé une amende de 250 000 € à l’encontre de la société Bouygues Telecom pour avoir manqué à ses obligations relatives à la protection des données personnelles des clients de la marque B&YOU.
Cette décision est intéressante à plusieurs titres, car elle fournit une illustration de l’application de la loi dans le temps et précise les contours de l’obligation qu’ont les responsables de traitement de garantir la sécurité des données personnelles qu’ils traitent.

 

1. L’application de la Loi pour une République numérique après le RGPD

On ne peut pas, de bonne foi, nier le fait que nombre de responsables de traitement (RT) n’ont commencé à prendre en considération, si ce n’est au sérieux, l’ensemble de leurs obligations relatives à la protection des données personnelles qu’ils traitent qu’à l’approche de l’entrée en application du RGPD le 25 mai 2018.

Pour l’essentiel, le Règlement reprend, en les mettant à jour au regard des évolutions techniques apparues depuis l’explosion d’internet, des réseaux sociaux, de l’internet des objets et du « big data », les principes fondamentaux en vigueur en France depuis 1978 et l’adoption de la loi Informatique et Libertés. Il réforme aussi considérablement les sanctions encourues en cas de manquement (cf. notre article RGPD : connaissez-vous vraiment le montant des sanctions pécuniaires ?), faisant passer l’amende pouvant être prononcée par la CNIL de 150 000 € (300 000 € en cas de récidive) à 20 M€ ou 4% du chiffre d’affaires mondial total du RT.

Antérieurement à l’entrée en application du RGPD, la loi « Lemaire » (loi pour une République Numérique du 7 octobre 2016), avait toutefois déjà élevé à 3 M€ le plafond des sanctions encourues, parmi d’autres dispositions visant à amorcer la transition du droit français, d’un « Ancien Régime » de la protection des données, régi par la loi de 1978, vers une « ère RGPD ».

C’est au cours de cette période de transition qu’a été signalée la violation de données personnelles traitées sous la responsabilité de Bouygues Telecom, qui a été sanctionnée d’une amende de 250 000 € par la formation restreinte de la CNIL le 26 décembre 2018 (délibération n°SAN-2018-012).
Bien que les manquements aient débuté antérieurement à l’entrée en vigueur de la Loi Lemaire, c’est la date à laquelle la CNIL les a constatés, en l’espèce, à l’occasion d’un contrôle sur place, qui a déterminé le droit applicable, permettant ainsi le prononcé d’une amende excédant l’ancien plafond de 150 000 €.

 

2. Une illustration du niveau d’exigence de la CNIL quant aux mesures de sécurité adaptées aux données à protéger

a. L’origine de la vulnérabilité reprochée

La violation en question portait sur les données de consommateurs abonnés aux services de téléphonie mobile de B&YOU, société créée en 2011 par l’opérateur Bouygues Telecom pour commercialiser une offre « low cost » séparément des forfaits classiques de la marque. La distinction entre ces deux entités a pris fin en 2014 quand les forfaits et clients de B&YOU ont été intégrés à ceux de Bouygues Telecom.

C’est de la fusion des systèmes informatiques de ces deux opérateurs qu’est née, en 2015, la violation reprochée. La délibération de la CNIL décrit très clairement ce qui s’est passé :

« À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés. »

b. Le signalement et l’implication très rapide de la CNIL

L’erreur décrite a permis à certains clients, puis à la CNIL suite à un signalement reçu le 2 mars 2018, de constater qu’en modifiant quelques caractères dans l’adresse URL à partir de laquelle ils pouvaient consulter leurs contrats sur le site www.bouyguestelecom.fr, ils étaient en mesure d’accéder aux informations d’autres clients, et ce, sans que le site ne demande leur authentification.

Le 6 mars 2018, la présidente de la CNIL a ordonné la réalisation d’« une mission de vérification de l’ensemble des traitements de données à caractère personnel accessibles ou ayant été accessibles depuis le domaine bouyguestelecom.fr ». Le même jour, la société notifiait à la Commission la violation de données via le formulaire dédié à la notification d’une violation de données personnelles.

Lors du contrôle réalisé dans les locaux de Bouygues Telecom le 9 mars 2018 en application de la décision du 6 mars, les agents de la CNIL ont recueilli les explications de la société et appris qu’elle avait été avisée de la violation via Twitter (la délibération de la CNIL ne mentionne pas la date de cette information). Ils ont également constaté que la société avait dès le 5 mars pris des mesures visant à mettre fin à cette violation.

Ont suivi des échanges d’écritures entre le commissaire rapporteur et Bouygues Telecom, à l’issue desquels le montant de la sanction proposée par celui-ci à la formation restreinte de la CNIL est passé de 500 000 € à 250 000 €, en considération des explications et arguments avancés par la société.

c. Les positions de Bouygues Telecom et de la formation restreinte de la CNIL

Devant la formation restreinte réunie le 13 décembre 2018, la société n’a pas contesté que, de 2015 à 2018, des données personnelles concernant certains de ses clients (plus de deux millions de particuliers) aient été rendues accessibles par le biais d’adresses URL consultables sans authentification.

Pour sa défense, elle conteste avoir violé l’article 34 de la loi Informatique et Libertés portant sur les mesures à mettre en œuvre pour protéger les données traitées sous sa responsabilité, celui-ci ne tenant les responsables de traitement (RT) qu’à une obligation de moyen et non de résultat. Estimant avoir respecté les règles de l’art dans la gestion de ses bases de données et sites internet, en faisant notamment réaliser chaque année des tests et audits de sécurité n’ayant pas révélé la faille, elle ne saurait se voir reprocher un dysfonctionnement causé par une erreur humaine :

« Elle considère que la lecture de l’article 34 faite par le rapporteur revient à rendre imputable à un responsable de traitement n’importe quelle violation de données à caractère personnel, quelles que soient les circonstances dans lesquelles serait intervenue cette violation, et fait peser sur lui une obligation de résultat en matière de sécurité. »

La formation restreinte réfute ce raisonnement, rappelant qu’il lui appartient de déterminer dans quelle mesure la société aurait pu manquer à ses obligations en ne mettant pas en œuvre les mesures techniques adaptées, tout en tenant compte d’un critère de proportionnalité avec le nombre de personnes et l’étendue des données concernées.
La négligence reprochée à Bouygues Telecom dans la façon dont ont été menés les tests prévus par ses procédures est illustrée par les deux exemples suivants, que nous préférons, ici encore, citer :

• « La société explique l’absence d’efficacité de ces tests en raison de la méthode retenue : elle indique que des comptes d’utilisateurs factices sont créés à l’occasion de ces tests afin de simuler les actions réalisables par un utilisateur réel, et que ces comptes doivent être régulièrement générés pour adapter les tests à l’évolution de l’environnement informatique. Les comptes utilisés pour les tests effectués se sont donc révélés non adaptés pour identifier la vulnérabilité puisque seuls des comptes de clients B&You créés entre juillet 2011 et décembre 2014 pouvaient révéler la vulnérabilité ici en cause. »

• « De la même manière, si la formation restreinte pourrait admettre qu’une revue manuelle de l’ensemble du code du site web de la société peut ne pas être proportionnée au regard du nombre de lignes composant ce code, la formation restreinte estime néanmoins que l’attention particulière à apporter au mécanisme d’authentification nécessitait une revue manuelle du code portant uniquement sur cet élément critique. Une telle mesure n’apparaît en effet pas disproportionnée dans ce cas précis, tant au regard des moyens humaines et techniques à disposition de la société BOUYGUES TELECOM que des risques encourus par plus de deux millions de personnes concernées par la violation.
La formation restreinte constate en outre que le code commenté comportait spécifiquement l’indication qu’il devait être supprimé à l’issue de la phase de test. Une revue manuelle de ces lignes aurait ainsi immédiatement permis la découverte de l’erreur à l’origine de la vulnérabilité.
La formation restreinte estime dès lors que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier. »

Ainsi, sans tenir Bouygues Telecom à une obligation de résultat n’existant effectivement pas dans les textes, la formation restreinte considère qu’elle a manqué à ses obligations en ayant des procédures de tests de sécurité inadaptées aux données qu’il s’agissait de protéger.

On peut noter le haut niveau d’expertise des opérations menées par les agents de la CNIL, qui sont allés jusqu’à relire le code du site internet de la société pour y relever des preuves de sa négligence.

d. Le prononcé de la sanction

Tout en reconnaissant la grande réactivité dont Bouygues Telecom a fait preuve dès la découverte de la violation et sa coopération avec la CNIL, au regard de la durée de la violation (plus de deux ans et trois mois), du nombre de personnes (plus de deux millions) et de l’étendue des données identifiantes (le nom, le prénom, la date de naissance, l’adresse de courrier électronique, l’adresse physique, le numéro de téléphone mobile), quand bien même celles-ci ne contiennent pas de donnée pouvant être qualifiée de sensible, la formation restreinte a toutefois jugé opportun de suivre la dernière proposition du commissaire rapporteur en prononçant une sanction de 250 000 €, correspondant à la gravité de la violation.

On peut enfin noter les termes dans lesquels la formation restreinte justifie la mesure de publicité accompagnant la sanction :

« au regard de la gravité du manquement précité, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données, il y a lieu de rendre publique sa décision »

Cette décision illustre plus que jamais la nécessité de répandre les principes du RGPD, en particulier la protection de la vie privée dès la conception (ou « privacy by design »), auprès de l’ensemble des services pouvant être amenés à affecter des données personnelles, et de réaliser des tests de sécurité poussés.

DU POINT DE VUE DE LA CYBERSECURITE

 

Cette décision met également en lumière les limites des audits de sécurité, notamment les tests simulant des intrusions informatiques tout en évitant de perturber le fonctionnement normal de l’application pour les usagers (nécessité de comptes de test ou tests réalisés en environnement de recette ou de préproduction). Ces audits en temps limités sont par ailleurs commandités avec l’objectif de matérialiser les risques les plus critiques ou les plus probables pour la société commanditaire ; les enjeux de protection de la donnée personnelle ne sont pas systématiquement identifiés comme de telles menaces. D’autres approches, complémentaires des tests d’intrusions permettraient de découvrir plus facilement les vulnérabilités difficilement atteignables, similaires à celle ayant mené à cette décision de la CNIL :

• L’audit de code source, lorsqu’il est piloté par un référentiel d’exigences et de bonnes pratiques sécurité, mais couvrant également la protection des données à caractère personnel ;
• La revue d’architecture, notamment l’architecture logicielle, lors de refontes ou d’évolutions majeures des applications dans une approche « Cybersecurity and Privacy by Design » ;
• L’intégration de tests de sécurité dans les processus d’intégration continue, même si les problématiques de cloisonnement applicatif sont toujours complexes à modéliser, car fortement liées aux cas d’usages.