RGPD bilan après 9 mois

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrait en application. Quelques mois plus tard le 16 octobre 2018 la CNIL dressait un 1^er bilan.

+742 notifications de violations émises concernant 33 millions des personnes.

Ces violations concernaient 

• Des atteintes à la confidentialité des données : 695
• Et/ou des atteintes à la disponibilité : 71
• Et/ou des atteintes à l’intégrité : 50

Les causes de ces violations

• Piratage : 421
• Données envoyées au mauvais destinataire : 62
• Equipement perdu ou volé : 47
• Publication involontaire d’informations : 43
• Autre : 99

Durant ces quelques mois l’agence publique ne s’est pas contentée de réaliser des statistiques elle a agi en sanctionnant parfois assez sévèrement. On peut ainsi dire qu’il a plu autant d’amandes en France qu’il y a eu de précipitations sur Paris.

Nous citerons pour exemple

• Le 27 décembre Bouygues se faisait épingler avec une sanction de 250. 000€ pour manquement à la sécurité des données 
• Le 20 décembre sanction de 400.000€ à l’endroit d’Uber pour une atteinte à la sécurité des données des utilisateurs
• Le 19 juillet et 23 octobre 2018 la Présidente de la CNIL mettait en demeure les sociétés FIDZUP et SINGLESPOT pour absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Les sociétés s’étant mise en conformité les procédures ont été clôturées
• Le 18 octobre 2018 : Mise en demeure de cinq sociétés d’assurance pour détournement de finalité des données des assurés
• Le 27 septembre 2018 ALLIANCE FRANCAISE PARIS ÎLE DE FRANCE : sanction de 30.000€ pour une atteinte à la sécurité des données des utilisateurs
• Le 2 aout 2018 DAILYMOTION : sanction de 50.000€ pour une atteinte à la sécurité des données des utilisateurs
• Et bien évidemment le 21 janvier 2019 la presse relayait massivement l’amande de 50 millions d’euros infligée au géant américain Google

Tout cela vous semble très loin des problématiques de votre site internet ? alors regardez plutôt

Challenges.fr condamné à 25.000 euros d’amende du fait du paramétrage de ses « cookies ». Là nous sommes beaucoup plus proches de vos problématiques. Et si je vous dis que cette affaire été tranchée sous l’égide de la Loi informatique et libertés telle qu’applicable au moment des faits, en 2016. Là j’attire peut-être votre attention ? Car aujourd’hui avec le RGPD un tel manquement pourrait être sanctionné d’une façon nettement plus importante, les sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires

Un autre cas intéressant à vous narrer est celui de OPTICAL CENTER qui a recu une sanction de 250.000€ pour une atteinte à la sécurité des données des clients du site internet www.optical-center.fr. Le problème résulte ici d’un manquement de sécurité qui permettait à un internaute d’accéder relativement facilement aux factures d’autres clients. Or ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.

L’intérêt (si je puis dire) de cette sanction est qu’elle s’appuie sur le concept de « privacy by design ».

Le concept de “Privacy by Design” présent dans le RGPD a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques dès leur conception. Ce concept est en outre étroitement lié à celui “Privacy by Default”, selon lequel chaque entreprise traitant des données personnelles doit garantir par défaut le plus haut niveau possible de protection des données. Il est donc important que dis je primordial de travailler les sujets en amont et plus en aval comme cela fut souvent le cas lors de la création d’un site web.

Pour prévenir la majeure partie de ces incidents, la CNIL rappelle notamment dans son guide sécurité  qu’il est essentiel :

• de penser la sécurité dès le lancement d’un projet ;
• d’effectuer régulièrement  les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs, ou les bases de données ;
• et d’informer régulièrement le personnel sur les risques et enjeux de la sécurité.

La Fiche 9 aborde spécifiquement la sécurité des sites web

Nous ne saurions que trop recommander de penser ou repenser les sites en se posant quelques questions :

Qui peut se connecter à mon site ? Par où (admin / front) ? Quelles informations sont récupérables ? La vie privée de mon internaute est elle bien protégée lorsqu’il remplit un formulaire (de contact par exemple) ? Est il bien informé et peut il s’opposer aux cookies présents sur le site ? Les mentions légales du sites intègrent elles bien les mentions obligatoires ?

Outre ces questions nous conseillons vivement d’appliquer les consignes émises par la CNIL telles que :

• Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
• Limiter les ports de communication
•  Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées…