Saisi par Optical Center, le Conseil d’État rabaisse la sanction de la CNIL

Rien que pour vos yeux

Le 23 avril 2019 à 07h49

5 min

Droit

Le Conseil d’État a revu à la baisse la sanction infligée par la CNIL à l’encontre d’Optical Center. La juridiction administrative reproche à l’autorité de ne pas avoir tenu compte de la célérité avec laquelle l’entreprise avait corrigé la faille à l’origine de cette décision.

Cette faille permettait très simplement de prendre connaissance des factures d’autres clients sur Internet. Comment ? En modifiant la variable de l’URL correspondant à sa facture (« id= »), comme l’expliquaient en août 2017 nos confrères de Zataz. Nom, prénom, coordonnées postales, correction ophtalmologique et parfois le numéro de Sécurité sociale faisaient alors partie des données personnelles éventées.

La CNIL avait été alertée le 28 juillet 2017. Le 31, elle effectuait des vérifications en ligne et contactait le même jour le cybervendeur. Le colmatage fut effectué le 2 août, soit deux jours plus tard. « Une fonctionnalité a été ajoutée afin de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant » détaillait la délibération.

Le 7 mai, la CNIL infligeait finalement une sanction de 250 000 euros à l’encontre d’Optical Center, avec diffusion publique de la délibération. La société a toutefois attaqué la décision devant le Conseil d’État, juridiction compétente pour jauger du parfait respect de la loi Informatique et Libertés.

Une mise en demeure préalable non obligatoire

À Optical Center, qui contestait le déroulé de cette procédure, les juges ont réexpliqué dans leur arrêt du 17 avril 2019 que la CNIL pouvait directement s’engager sur la voie de la sanction, sans prendre soin d'adresser une mise en demeure préalable :

« Il résulte de ces dispositions, éclairées par les travaux préparatoires de la loi du 7 octobre 2016, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés soit qu'ils soient insusceptibles de l'être soit qu'il y ait déjà été remédié ».

Puisque la faille a été dénoncée le 31 juillet pour être colmatée le 2 août, « la formation restreinte de la CNIL a pu légalement (...) engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre de la société Optical Center ».

Le Conseil d’État a ainsi estimé que c’est à bon droit que la CNIL a caractérisé le manquement aux obligations de sécurité des données personnelles. « L'ensemble des données concernées, dans une base d'au moins 334 769 documents, était donc accessible sans contrôle préalable et sans qu'il soit besoin d'une maîtrise technique particulière ».

Une faille que la société aurait dû prévenir

La haute juridiction relève d’ailleurs que le programme de protection qui promettait de « bannir les activités anormales sur le site » n'a pas anticipé cette faille « en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d'audits de sécurité ultérieurs ».

Toutefois, l’action d’Optical Center n’a pas été vaine. L'article 47 de la loi du 6 janvier 1978, en vigueur au moment des faits, soulignait que « le montant de la sanction pécuniaire (…) est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement ».

Une sanction allégée de 50 000 euros

Préalablement au 25 mai 2018, date d’entrée en application du RGPD, ce montant ne pouvait excéder 3 millions d'euros. Comme dans le nouveau texte, la CNIL devait toutefois tenir compte de plusieurs facteurs pour établir ce montant, comme le caractère intentionnel ou la négligence à l’origine du manquement, les mesures prises par le responsable pour atténuer les dommages subis, son degré de coopération avec la commission…

Bref de la nature, de la gravité, de la durée du problème outre du comportement du responsable.

Sur ce point, le Conseil d’État a considéré que la CNIL n’avait pas pris en compte la forte réactivité de la société, qui, comme expliqué, a corrigé le problème en deux jours : « en retenant une sanction pécuniaire d'un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée ».

La délibération mentionne que « si la société a fait preuve de réactivité et a effectué les diligences nécessaires auprès de son prestataire, la formation restreinte souligne néanmoins que les services de la CNIL ont pu accéder aux données des clients de la société, cet accès ayant confirmé l’existence du défaut de sécurisation signalé par un tiers ». Mais elle aurait dû plus explicitement souligner que les 250 000 euros infligés avaient été déterminés en tenant compte aussi du critère temporel.

En l'absence de cette précision, le Conseil d’État a finalement ramené la sanction à 200 000 euros, avec obligation pour la CNIL de publier l’arrêt du Conseil d’État.

Commentaires (51)

wanou Abonné

Le 24/04/2019 à 12h25

Je suis bien content qu’il reste une part importante de l’amande d’origine. Il faut que les sociétés soient plus regardantes envers leurs fournisseurs.

La faille était gigantesque, je ne crois pas une seconde que personne n’était en mesure de la détecter chez optical center. Ce qui a pu arriver par contre est une décision d’achat imposée aux techniques par les financiers contre vents et marrées et en dépit du bon sens (juste pas cher à court terme).

Je trouve que la cnil ne sévit pas assez souvent: il y a quelques mois j’ai opté pour le prélèvement avec la régie des eaux de Grenoble et ils m’ont envoyé un courriel récapitulatif avec toutes les informations bancaires sensibles du rib, mon numéro de tel , mon nom et mon prénom. Il y a deux jours, je change le rib et rebelotte.

avoir contacté la CNIL n’a rien fait avancer dans mon cas

Patch Abonné

Le 24/04/2019 à 13h19

wanou a écrit :

Je suis bien content qu’il reste une part importante de l’amande d’origine.

Etant donné que la moitié (voire plus) du poids d’une amande c’est sa coque, encore heureux!

Zerdligham

Le 24/04/2019 à 16h20

Ok. Si tu ne t’intéresse qu’aux effets juridiques directs, il est vrai que le RGPD n’a pas d’effet sur les éditeurs. Mes réponses ne s’intéressaient pas à ces effets directs, et étaient donc hors-sujet.

wanou Abonné

Le 24/04/2019 à 16h22

Je préfère les amandes sucrées aux amendes salées, c’est meilleur au goût. " />

Et concernant l’article, tu as des contributions à faire ? Tu n’as pas rebondi sur les choix imposés. Ne me dit pas que cela ne t’arrive jamais.

Patch Abonné

Le 24/04/2019 à 17h45

wanou a écrit :

Je préfère les amandes sucrées aux amendes salées, c’est meilleur au goût. " />

Et concernant l’article, tu as des contributions à faire ? Tu n’as pas rebondi sur les choix imposés. Ne me dit pas que cela ne t’arrive jamais.

D’imposer mes choix? Non, en effet, ca ne m’arrive jamais.

wanou Abonné

Le 24/04/2019 à 18h01

Ma question concernait les choix que tu subit en tant que technique sans être consulté et sans pouvoir argumenter contre.

vizir67 Abonné

Le 23/04/2019 à 08h09

la CNIL pouvait directement s’engager sur la voie de la sanction

sans prendre soin d’adresser une mise en demeure préalable :

les ‘fraudeurs’ n’ont qu’à bien-se-tenir !

“et…vlan–>sans avertir” " />

Jeanprofite

Le 23/04/2019 à 08h10

Le conseil d’état est bien «gentil» avec les sociétés. Au lieu d’amplifier le montant de l’amende il la réduit. " />

250000 c’était déjà pas beaucoup, au vu de l’erreur et du nombre de données personnelles accessibles.

js2082

Le 23/04/2019 à 08h28

Jeanprofite a écrit :

Le conseil d’état est bien «gentil» avec les sociétés. Au lieu d’amplifier le montant de l’amende il la réduit. " />

250000 c’était déjà pas beaucoup, au vu de l’erreur et du nombre de données personnelles accessibles.

Le Conseil d’État n’est pas “gentil”: il n’a fait, semble-t-il que vérifier si la CNIL avait bien appliqué la loi au cas d’espèce.

La CNIL a manqué un des critères d’appréciation, ce qui a conduit le Conseil à réduire le montant en conséquence.

S’il faut faire un reproche, il serait plus pertinent de le faire à la CNIL qui a fixé le montant de la sanction.

DaCaiD Abonné

Le 23/04/2019 à 08h42

50.000€ d’économisés, mais combien dans les poches des avocats?

Furanku Abonné

Le 23/04/2019 à 08h47

Heu… le Conseil d’Etat aurait été “gentil” s’il avait purement et simplement annulé la décision de la CNIL, ou réduit à peau de chagrin le montant.

Là il rappelle juste le fait que la société a réagit rapidement (ce qui reste encore rare) et que donc la peine doit-être amoindrie en conséquence. Ce en rappelant les manquements de la société qui plus est. En quoi cela est “gentil” au juste ?

Chacune des parties est dans son rôle : la CNIL pour l’application de la peine, la société qui se défend et le Conseil d’Etat qui applique un juste milieu équitable pour les deux précédentes parties.

Jarodd Abonné

Le 23/04/2019 à 09h04

C’est purement à l’appréciation des différents juges. Il n’y a aucun barême qui dit que “1 semaine de correction c’est 250k€, 2 jours c’est 200k€”. La CE a juste amoindri la sanction parce que la CNIL l’a mal détaillé. Si elle avait explicitement indiqué que 250k€ c’était l’amende correspondant à une correction en 2 jours, le CE l’aurait laissé.

anonyme_7c080d0b57a30a99451672cfc228f71f

Le 23/04/2019 à 09h16

Tout à fait. Toute décision de justice doit être motivée.

anonyme_7c080d0b57a30a99451672cfc228f71f

Le 23/04/2019 à 09h28

ça me fait penser à ma demande de formation que le centre de formation vient de me refuser par l’intermédiaire du site web de Pôle Emploi sous l’unique phrase “Votre candidature n’a pas été retenue” (d’ailleurs, j’attends des précisions, c’est un peu abusif). Heureusement que, contrairement aux autres administrations publiques ou privées, l’administration judiciaire ne punit pas les gens de cette façon laconique.

js2082

Le 23/04/2019 à 10h00

Radithor a écrit :

…

 Heureusement que, contrairement aux autres administrations publiques ou privées, l’administration judiciaire ne punit pas les gens de cette façon laconique.

Je pense que ces 6 derniers mois ont bien démontré le contraire avec les Gilets jaunes, et encore ce week-end avec l’arrestation de deux journalistes.

 

Furanku Abonné

Le 23/04/2019 à 10h24

En effet l’actualité tend à prouver (malheureusement) qu’il y a une Justice à deux vitesses… " />

Righall

Le 23/04/2019 à 10h26

Furanku a écrit :

En effet l’actualité tend à prouver (malheureusement) qu’il y a une Justice à deux vitesses… " />

Meuh non, certains sont justes plus égaux que d’autres " />

crocodudule

Le 23/04/2019 à 10h54

         Le Conseil d’Etat a rappelé les principes de base, même en matière de sanction administrative on doit tenir compte du principe de proportionnalité et de personnalisation.

A mon avis la CNIL devrait faire un effort de motivation dans ses décisions, notamment en abandonnant sa formule perpétuelle où elle indique que sanctionner est nécessaire pour informer la population sur la réglementation en matière de protection des données, dans le genre critère totalement extérieur à la personne condamnée on fait pas mieux…

Finalement, l’aspect le plus intéressant de la décision du Conseil d’Etat est sur le fait qu’il est confirmé que le passage préalable par la mise en demeure n’est pas obligatoire (chose qui me semblait plus faire de doute, mais qui est souvent soulevée).

         En revanche, on peut faire un premier bilan s’agissant de la série de condamnations de responsables du traitement par la CNIL pour la même “faille” (on est plus sur un problème de conception à mon sens).

En effet, et j’ignore si c’est le cas s’agissant d’optical, mais je sais en revanche que pour d’autres sanctions c’est un même outil qui serait systématiquement en cause, l’éditeur facturerait même la mise à jour consistant à vérifier que les infos affichées correspondent au compte client (probablement la gestion des sessions et token qui va bien).

Aussi, cet outil serait identifié comme mal conçu au départ et vendu à des grandes entreprises. Néanmoins, depuis les sanctions de la CNIL, l’éditeur n’aurait jamais eu de compte à rendre et ferait payer sa mise à jour sous prétexte de conformité RGPD ?!?

Est-ce que les notions de responsable du traitement et de sous-traitant ne montreraient pas leurs limites, là où en réalité il s’agit d’une problématique d’éditeur, et avec elles la jurisprudence de la CNIL qui consiste à ne pas faire de distinguo entre le responsable du traitement et sous-traitant ayant ou devant avoir des compétences informatiques et ceux qui n’ont d’autre solution que de se fier à un professionnel vendant un logiciel sur l’étagère ?

Prétendre qu’il faut faire de la “security by design” (j’ai envie de fumer ceux qui utilisent cette formule, mais c’est pas le sujet…) et passer totalement à coté de l’éditeur de logiciel s’agissant du RGPD et de la protection des données à caractère personnel, n’est-il pas la démonstration d’une erreur de conception originelle de la règlementation ?

Peut-on rattraper cette énorme erreur en passant par le défaut d’information et de conseil de l’éditeur et donc en sortant totalement de la règlementation sur la protection des données, qui à nouveau démontre son inefficacité ?

Vous avez 2 heures ! " />

vizir67 Abonné

Le 23/04/2019 à 11h04

il faudrait le revoir* leur “art 1er des D.Homme” :

Article 1er. Les hommes naissent et demeurent libres et égaux en droits

* à la baisse " />

crocodudule

Le 23/04/2019 à 20h59

Mihashi a écrit :

.

Si le sous-traitant manipule les données, alors c’est un partage de la responsabilité (plutôt que du « risque » " />).

Non, aucun rapport, par définition le sous traitant “manipule” des données pour le compte du responsable du traitement sinon il n’est pas sous traitant.

En revanche pour qu’il existe une coresponsabilité il faut qu’il y ait une codétermination des finalités, dans ce cas il s’agit de coresponsables du traitement (une des nouveautés du RGPD)

Tr4ks Abonné

Le 23/04/2019 à 21h13

Avoir une fuite de données par le biais d’un sous-traitant c’est bien un risque portant sur un bien sensible de l’entreprise (les données personnelles des clients) .

La preuve ça va lui coûter au minimum l’amende dont il est question dans l’article.

Après je suis pas calé en RGPD mais dans les cas extrêmes ça peut aller jusqu’à 4% du chiffre d’affaire de l’entreprise.

Mihashi Abonné

Le 23/04/2019 à 21h14

crocodudule a écrit :

Je vais pas reprendre mon explication, le fait que le rgpd prétende à la sécurité dès la conception en ignorant l’éditeur est une erreur, de même qu’affirmer que la responsabilité du responsable du traitement est systématique en matière de sécurité indépendamment de sa compétence en est une autre.

L’éditeur peut développer un logiciel compatible RDPG pour un contexte donné, mais que le responsable du traitement détourne l’utilisation (volontairement ou non) et qu’il ne soit alors plus compatible RGPD.

Ce n’est pas le logiciel (donc l’éditeur) qui fait que la « manipulation » est compatible RGPD, mais ce qu’on en fait (donc le responsable du traitement ou le sous-traitant).

crocodudule a écrit :

Non, aucun rapport, par définition le sous traitant “manipule” des données pour le compte du responsable du traitement sinon il n’est pas sous traitant.

En revanche pour qu’il existe une coresponsabilité il faut qu’il y ait une codétermination des finalités, dans ce cas il s’agit de coresponsables du traitement (une des nouveautés du RGPD)

L’éditeur peut aussi être un sous-traitant et ne manipule pas de données, mais vu que ça n’est pas le genre de sous-traitant dont on parle j’ai préféré préciser pour éviter les malentendus.

Pour la responsabilité des sous-traitants, ce que je voulais dire c’est qu’ils ont aussi des responsabilités (qui ne dédouane pas celles du responsable). Mais elles ne sont pas forcément « partagées » avec le responsable, le terme était mal choisi.

Tr4ks a écrit :

Avoir une fuite de données par le biais d’un sous-traitant c’est bien un risque portant sur un bien sensible de l’entreprise (les données personnelles des clients) .

La preuve ça va lui coûter au minimum l’amende dont il est question dans l’article.

Après je suis pas calé en RGPD mais dans les cas extrêmes ça peut aller jusqu’à 4% du chiffre d’affaire de l’entreprise.

cf juste au dessus :)

crocodudule

Le 23/04/2019 à 21h17

Mihashi a écrit :

L’éditeur peut aussi être un sous-traitant et ne manipule pas de données, mais vu que ça n’est pas le genre de sous-traitant dont on parle j’ai préféré préciser pour éviter les malentendus.

Pour la responsabilité des sous-traitants, ce que je voulais dire c’est qu’ils ont aussi des responsabilités (qui ne dédouane pas celles du responsable). Mais elles ne sont pas forcément « partagées » avec le responsable, le terme était mal choisi

Ok je comprends la précision là :)

xxxo

Le 24/04/2019 à 05h22

« Une fonctionnalité a été ajoutée afin de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant »Ils sont sérieux les mecs ? Genre la sécurité c’est une fonctionnalité ?

Elwyns

Le 24/04/2019 à 06h25

mais c’est bien la faute de l’éditeur les trous dans le logiciel pas du sous traitant / prestataire info .

Si j’installe la suite logicielle de X qui est trouée comme une passoire .. pourquoi est ce ma faute ? comment je pouvais le savoir que leur logiciel soit une faille sans nom ?

ps : pas mis à jour les coms ; j’ai pas lu la suite , je dois confondre vos termes de sous traitants

Soriatane Abonné

Le 24/04/2019 à 06h46

Je ne comprends pas.

Si tu te fais condamner par la CNIL tu peux te retourner contre l’éditeur qui t’a fournit un logiciel troué qui a fait défaut alors que tu suivais leurs recommandations de configuration, non?

the_frogkiller Abonné

Le 24/04/2019 à 07h29

Elwyns a écrit :

mais c’est bien la faute de l’éditeur les trous dans le logiciel pas du sous traitant / prestataire info .

Si j’installe la suite logicielle de X qui est trouée comme une passoire .. pourquoi est ce ma faute ? comment je pouvais le savoir que leur logiciel soit une faille sans nom ?

ps : pas mis à jour les coms ; j’ai pas lu la suite , je dois confondre vos termes de sous traitants

On ne parle pas d’un utilisateur qui installe un software sur son ordinateur personnel mais d’un professionnel sensé maîtriser son SI d’autant plus qu’il y a des obligations légales vus qu’ils manipulent des données personnelles

crocodudule

Le 24/04/2019 à 08h22

Soriatane a écrit :

Je ne comprends pas.

Si tu te fais condamner par la CNIL tu peux te retourner contre l’éditeur qui t’a fournit un logiciel troué qui a fait défaut alors que tu suivais leurs recommandations de configuration, non?

En principe non, t’as responsabilité est personnelle s’agissant de la réglementation sur la protection des données à caractère personnelle, un peu comme au pénal.

Sauf qu’au pénal on fait (en principe) intervenir l’élément moral (l’intention) pour dire constituer ou non une infraction, ceci t’empêchant d’être condamné pénalement par la faute d’un tiers.

A l’inverse le manquement permettant la sanction administrative par la CNIL se contente de la simple matérialité des faits indifféremment de ton intention, donc tu peux te faire fumer pour les manquements d’un tiers alors que précisément tu as cru pouvoir te fier à ce tiers professionnel.

Par ailleurs, ce tiers ne doit pas pour autant endosser ta sanction administrative mais éventuellement des dommages et intérêts pour sa faute dans vos rapports contractuels (dommages qui ne peuvent recouvrir l’amende prononcée, c’est le même mécanisme qui par exemple interdit l’assurance pénale).

Zerdligham

Le 24/04/2019 à 08h35

crocodudule a écrit :

Néanmoins, cela va se traduire par à minima une expertise judiciaire pour objectivement établir comment fonctionne le logiciel et constater une programmation “non conforme aux règles de l’art” (pour reprendre la formule consacrée), à charge néanmoins que le dit expert soit effectivement compétent…

Rédiger le contrat en obligation de résultat, pas de moyen. Si le cahier de charges dit que les fiches personnelles ne sont accessibles qu’aux personnes concernées, osef que le dev ait été fait dans les règles de l’art ou pas, si elles sont accessibles à d’autres, le contrat est violé.

Le cas foireux est selon moi plutôt si la faille est dans la conjonction d’erreurs de dev et d’install/paramétrage, où il peut y avoir zoophilie sur diptères pour savoir qui est responsable de quoi.

crocodudule a écrit :

Ceci fait, il va falloir démontrer le préjudice causé par la négligence qui ne peut être celui de l’amende prononcée par la CNIL. Donc souvent rien sauf à démontrer que la faille s’est doublée d’exploitations dommageables.

les charges passées en analyse et traitement du dossier + une évaluation du préjudice en image + des pénalités forfaitaires

(selon comment est rédigé le contrat et comment est traitée l’affaire, à mon avis en pratique ça se réglerait plus souvent par une négo en backoffice que par une action en justice)

crocodudule a écrit :

Donc la procédure sera très aléatoire s’agissant de son résultat, surtout l’éditeur négligeant ne sera pas condamné au titre de la réglementation sur la protection des données à caractère personnel, mais bien sur le droit commun des contrats.

Elle n’est aléatoire que si le contrat est mal ficelé. Est-ce-que ça a une importance que l’éditeur soit condamné au titre de paul ou pierre?

Je n’y connais pas grand chose en juridique, mais si l’éditeur a marcketé son logiciel pour les données perso sans avoir assuré le minimum, il me semble qu’il devrait aussi être condamnable pour escroquerie.

crocodudule a écrit :

Par conséquent, si comme toi j’estime que le responsable du traitement doit pouvoir voir sa responsabilité engagée (tout comme le sous-traitant), avoir totalement zappé l’éditeur me semble un énorme trou dans la raquette du RGPD & co à partir du moment où un logiciel est conçu pour accueillir des données à caractère personnel.

Je suis plutôt d’accord avec toi dans le principe, pour les cas où il s’agit de logiciels explicitement conçus et vendus pour traiter des données personnelles. Je ne vois pas trop comment le mettre en pratique.

C’est pas l’éditeur qui décide quelles données on met dans son logiciel, ni si et comment est menée l’analyse d’impact, quel est le niveau de risque jugé acceptable par l’utilisateur de son logiciel etc… Je vois mal comment lui donner une responsabilité dans un processus qui ne l’implique pas.

crocodudule

Le 24/04/2019 à 08h42

Zerdligham a écrit :

Rédiger le contrat en obligation de résultat, pas de moyen. Si le cahier de charges dit que les fiches personnelles ne sont accessibles qu’aux personnes concernées, osef que le dev ait été fait dans les règles de l’art ou pas, si elles sont accessibles à d’autres, le contrat est violé.

Le cas foireux est selon moi plutôt si la faille est dans la conjonction d’erreurs de dev et d’install/paramétrage, où il peut y avoir zoophilie sur diptères pour savoir qui est responsable de quoi.

Néanmoins, le manquement à l’obligation de résultat si tu veux le faire trancher par une Juridiction, je te recommande fortement l’intervention d’un expert.

A l’inverse, en face et si tu viens par exemple avec juste un constat d’huissier de la reproduction de la faille, je vais te dire que tu n’as pas correctement configuré mon soft ou le serveur qui l’héberge et que la faille constatée par huissier est de ton fait non de mon programme.

Elwyns

Le 24/04/2019 à 08h43

même si c’est un professionel, il peut être que technicien sans manipuler de données autres que celle des employés ( hors clients ) et n’installer que le soft juste avec la doc éditeur

crocodudule

Le 24/04/2019 à 08h46

Zerdligham a écrit :

les charges passées en analyse et traitement du dossier + une évaluation du préjudice en image + des pénalités forfaitaires

(selon comment est rédigé le contrat et comment est traitée l’affaire, à mon avis en pratique ça se réglerait plus souvent par une négo en backoffice que par une action en justice)

Sauf que si tu n’as aucune exploitation de la faille ou plus exactement que tu n’arrives pas à le démontrer et donc que cela a eu des conséquences dommageables, il n’y aura aucun intérêt à l’action. Un peu comme en matière de construction, un simple non respect d’une norme n’est pas en lui-même indemnisable si par ailleurs cela n’a aucun effet dommageable, d’où la nécessité de toujours démontrer l’existence du dommage.

crocodudule

Le 24/04/2019 à 08h57

Elwyns a écrit :

mais c’est bien la faute de l’éditeur les trous dans le logiciel pas du sous traitant / prestataire info .

  Si j'installe la suite logicielle de X qui est trouée comme une passoire .. pourquoi est ce ma faute ? comment je pouvais le savoir que leur logiciel soit une faille sans nom ?

 ps : pas mis à jour les coms ; j'ai pas lu la suite , je dois confondre vos termes de sous traitants

 Le problème du RGPD n'est pas de chercher la responsabilité du responsable du traitement (ou du sous-traitant), mais de ne rechercher que celle-la, là où comme tu l'indiques un éditeur qui prêtant fourguer un soft destiné à la gestion de données à caractère personnel n'est jamais inquiété.

A mon avis, ce "mécanisme" de responsabilité totalement binaire doit être revue pour intégrer (comme par exemple en matière de presse), une responsabilité en cascade partant du responsable du traitement jusqu'à l'éditeur en passant par le sous-traitant (et en aménageant la situation de la&nbsp; maintenance/support informatique). Mais la nuance est pas vraiment dans l'ADN de la règlementation en matière de données à caractère personnel qui est vraiment le résultat de compromis et de formules à rallonge pour dire de façon compliqué et sur 82 pages (pour le RGPD) "tu traites des données personnelles = voila tes obligations".

Zerdligham

Le 24/04/2019 à 09h16

crocodudule a écrit :

…

Je ne comprends pas pourquoi tu ne considères que le prisme judiciaire. En pratique, je doute que ce genre de situations fasse souvent l’objet d’une procédure judiciaire.

En tout cas dans mon expérience, j’ai toujours eu facilement la coopération des prestas pour trouve l’origine de la faille (ils y ont autant intérêt que moi), et obtenu gratuitement la correction des failles de sécu & geste commercial à hauteur de ce que ça nous a coûté quand c’est de sa faute.

Y compris de la part de prestas qui ont l’habitude de saigner à blanc le client à la moindre demande, et y compris quand ça leur coûte réellement cher. Quand le caca est suffisamment puant et qu’il est aussi évidemment le leur que dans un cas comme celui de cet article, il y a de bonnes chances que ça se gère à l’amiable.

Après, j’ai pas eu à gérer des cas de très gros sous (susceptible de mettre en faillite le presta). Il est probable que ces cas feraient l’objet de plus de résistance.

Second point, à partir du moment où je suis condamné à une amende, que je suis publiquement humilié ou que j’ai du payer des experts pour la résolution d’un problème qui n’aurait pas du exister, il y a préjudice. Ca me parait suffisant pour être fondé à agir.

crocodudule

Le 24/04/2019 à 10h53

Zerdligham a écrit :

Je ne comprends pas pourquoi tu ne considères que le prisme judiciaire. En pratique, je doute que ce genre de situations fasse souvent l’objet d’une procédure judiciaire.

En tout cas dans mon expérience, j’ai toujours eu facilement la coopération des prestas pour trouve l’origine de la faille (ils y ont autant intérêt que moi), et obtenu gratuitement la correction des failles de sécu & geste commercial à hauteur de ce que ça nous a coûté quand c’est de sa faute.

Y compris de la part de prestas qui ont l’habitude de saigner à blanc le client à la moindre demande, et y compris quand ça leur coûte réellement cher. Quand le caca est suffisamment puant et qu’il est aussi évidemment le leur que dans un cas comme celui de cet article, il y a de bonnes chances que ça se gère à l’amiable.

Après, j’ai pas eu à gérer des cas de très gros sous (susceptible de mettre en faillite le presta). Il est probable que ces cas feraient l’objet de plus de résistance.

Second point, à partir du moment où je suis condamné à une amende, que je suis publiquement humilié ou que j’ai du payer des experts pour la résolution d’un problème qui n’aurait pas du exister, il y a préjudice. Ca me parait suffisant pour être fondé à agir.

Je considère la chose sur le plan “juridique” parce que c’est l’objet de notre débat, ne doutant pas par ailleurs que certains prestataires préfèrent effectivement aider leurs clients, je t’indique simplement que c’est pas le cas de tous et que dans un tel cas se retourner contre eux peut s’avérer délicat s’agissant du résultat de la procédure judiciaire.

Pour le reste, tu confonds peine et préjudice.

the_frogkiller Abonné

Le 23/04/2019 à 11h07

crocodudule a écrit :

         Le Conseil d’Etat a rappelé les principes de base, même en matière de sanction administrative on doit tenir compte du principe de proportionnalité et de personnalisation.

A mon avis la CNIL devrait faire un effort de motivation dans ses décisions, notamment en abandonnant sa formule perpétuelle où elle indique que sanctionner est nécessaire pour informer la population sur la réglementation en matière de protection des données, dans le genre critère totalement extérieur à la personne condamnée on fait pas mieux…

Finalement, l’aspect le plus intéressant de la décision du Conseil d’Etat est sur le fait qu’il est confirmé que le passage préalable par la mise en demeure n’est pas obligatoire (chose qui me semblait plus faire de doute, mais qui est souvent soulevée).

         En revanche, on peut faire un premier bilan s’agissant de la série de condamnations de responsables du traitement par la CNIL pour la même “faille” (on est plus sur un problème de conception à mon sens).

En effet, et j’ignore si c’est le cas s’agissant d’optical, mais je sais en revanche que pour d’autres sanctions c’est un même outil qui serait systématiquement en cause, l’éditeur facturerait même la mise à jour consistant à vérifier que les infos affichées correspondent au compte client (probablement la gestion des sessions et token qui va bien).

Aussi, cet outil serait identifié comme mal conçu au départ et vendu à des grandes entreprises. Néanmoins, depuis les sanctions de la CNIL, l’éditeur n’aurait jamais eu de compte à rendre et ferait payer sa mise à jour sous prétexte de conformité RGPD ?!?

Est-ce que les notions de responsable du traitement et de sous-traitant ne montreraient pas leurs limites, là où en réalité il s’agit d’une problématique d’éditeur, et avec elles la jurisprudence de la CNIL qui consiste à ne pas faire de distinguo entre le responsable du traitement et sous-traitant ayant ou devant avoir des compétences informatiques et ceux qui n’ont d’autre solution que de se fier à un professionnel vendant un logiciel sur l’étagère ?

Prétendre qu’il faut faire de la “security by design” (j’ai envie de fumer ceux qui utilisent cette formule, mais c’est pas le sujet…) et passer totalement à coté de l’éditeur de logiciel s’agissant du RGPD et de la protection des données à caractère personnel, n’est-il pas la démonstration d’une erreur de conception originelle de la règlementation ?

Peut-on rattraper cette énorme erreur en passant par le défaut d’information et de conseil de l’éditeur et donc en sortant totalement de la règlementation sur la protection des données, qui à nouveau démontre son inefficacité ?

Vous avez 2 heures ! " />

Il me semble que pour la CNIL ça ne change rien car OPTICA aurait dû s’en rendre compte via des audits de sécurité

anonyme_7c080d0b57a30a99451672cfc228f71f

Le 23/04/2019 à 12h14

js2082 a écrit :

Je pense que ces 6 derniers mois ont bien démontré le contraire avec les Gilets jaunes, et encore ce week-end avec l’arrestation de deux journalistes.

 

Furanku a écrit :

En effet l’actualité tend à prouver (malheureusement) qu’il y a une Justice à deux vitesses… " />

Je n’ai pas dis que j’approuvais forcément une décision motivée. J’ai dit qu’une décision judiciaire était heureusement expliquée précisément.

Cela-dit, je regrette aussi la justice tantôt expéditive, tantôt lente par manque de moyens (spécificité française en occident) et je condamne les abus et les violences policières par instrumentalisation gouvernementale. Et je n’oublie pas l’état d’urgence permanent institutionnalisé progressivement depuis le mandat Hollande/Valls et qui continue toujours de se renforcer dans la loi.

Soriatane Abonné

Le 23/04/2019 à 12h15

Je pense surtout que le sous-traitant doit démontrer que l’intrusion n’est pas réalisale. Charge au donneur de s’en assurer et de se retourner contre prestataire.

Il faut éviter les donneurs d’ordre qui joue au ykafoq et se décharge sur les sous-traitants, leur demandant l’impossible.

crocodudule

Le 23/04/2019 à 12h29

the_frogkiller a écrit :

Il me semble que pour la CNIL ça ne change rien car OPTICA aurait dû s’en rendre compte via des audits de sécurité

Oui c’est bien mon propos. S’agissant d’optical ou de darty, ça me semble logique, on peut attendre de groupes de cette importance d’avoir un service informatique capable d’auditer un soft ou d’en louer la prestation.

Mais la CNIL dans son analyse ne fait pas la distinction entre le responsable de traitement qui sait ou peut savoir et celui qui en est incapable.

Ainsi par exemple, on pourrait prendre un artisan plombier qui achète un module de prise de rendez-vous en ligne. Si le logiciel est mal conçu au regard de la sécurisation des données, la CNIL peut l’étoiler sans considération du fait qu’il n’a aucune compétence pour auditer à minima le dit logiciel, tandis qu’il est très improbable que le prestataire informatique, embauché par exemple pour paramétrer le module de prise de rendez-vous sur le site Web de l’artisan, ne cherche à aller plus loin que la configuration du dit module.

Au final, pourtant celui qui a fait n’importe quoi, c’est l’éditeur du module, lequel est en revanche totalement ignoré par le RGPD &co.

crocodudule

Le 23/04/2019 à 12h54

Soriatane a écrit :

Je pense surtout que le sous-traitant doit démontrer que l’intrusion n’est pas réalisale. Charge au donneur de s’en assurer et de se retourner contre prestataire.

Il faut éviter les donneurs d’ordre qui joue au ykafoq et se décharge sur les sous-traitants, leur demandant l’impossible.

Attention, éditeur de logiciel != sous-traitant:

. l’éditeur développe un logiciel, qui peut être sur étagère ou sur-mesure, il ne traite pas les données du responsable du traitement.

. le sous-traitant est celui qui traite pour le compte du responsable du traitement des données à caractère personnel, ce dernier définissant les finalités du traitement.

. tu as encore celui qui a le cul entre deux chaises, à savoir l’éditeur offrant une prestation de maintenance, sa prestation n’est pas de manipuler les données pour en tirer quelque chose, néanmoins il y accède ou peut y accéder dans le cadre des mises à jour ou des sauvegardes, du coup avec la réglementation actuelle il se prend sur le coin du nez toutes les obligations d’un sous-traitant alors qu’à mon avis sa situation est différente de celui qui exploite vraiment les données.

Ainsi, lorsque tu achètes un windows ou une suite office (sauf cloud) microsoft n’est pas ton sous-traitant, mais simplement un éditeur ne relevant pas des obligations du RGPD.

C’est le sens de mon propos; on demande à des responsables du traitement sans considération de leurs compétences du juger du degré de sécurisation des logiciels qu’ils utilisent, alors que le concepteur d’un logiciel doit être dans 90% des cas un tiers au responsable du traitement et qui n’accèdera jamais aux données personnelles que son logiciel traitera.

En prétendant à la “security by design” tout en laissant de coté la responsabilité de l’éditeur, la règlementation sur la protection des données à caractère personnel fait l’impasse sur un point essentiel.

Après on peut même élargir le débat, si la CNIL est dans sa mission lorsqu’elle sanctionne le non respect des droits des personnes concernées par un traitement, est-ce bien le cas lorsqu’elle sanctionne des failles de sécurité sans fuite démontrée ? Dans ce dernier cas, si la CNIL sanctionne, elle interdit au passage et de facto des poursuites au pénal du fait du principe non bis in idem (bien longtemps on prétendait que l’on pouvait faire les deux si on dépassait pas le quantum de la peine, la CEDH a clairement indiqué que non s’agissant de l’AMF, ce qui est totalement transposable à la CNIL).

lanoux Abonné

Le 23/04/2019 à 13h26

Soriatane a écrit :

Je pense surtout que le sous-traitant doit démontrer que l’intrusion n’est pas réalisale. Charge au donneur de s’en assurer et de se retourner contre prestataire.

Il faut éviter les donneurs d’ordre qui joue au ykafoq et se décharge sur les sous-traitants, leur demandant l’impossible.

On parle quand même d’une super grosse erreur de débutant la, je ne veux pas accuser le stagiaire, mais afficher des infos sensibles avec juste monurl.com?id=xxx sans vérification de connexion au compte ha-doc c’est du grand n’importe quoi!

CryoGen

Le 23/04/2019 à 13h38

Après le soucis est de définir dans la loi ce qui est du “grand n’importe quoi” et ce qui ne l’est pas…

lanoux Abonné

Le 23/04/2019 à 14h28

un affichage de données sensibles sans connexion " />, la on est dans le grand n’importe quoi

Zerdligham

Le 23/04/2019 à 14h58

Au doigt mouillé et en cinq minutes, je dirais:

Le principe de personnalisation de la peine est justement ce qui permettra à la CNIL de sanctionner plus sévèrement un groupe qui aurait du avoir les moyens d’auditer l’outil que le plombier du quartier.

Par contre pour moi c’est bien au responsable de traitement d’être coupable par défaut. L’implication des sous-traitants / éditeurs, doit être gérée au niveau contractuel.

Pour prendre un exemple caricatural, si je fournis un stockage en ligne sans aucune protetion et qu’un client y fout des données perso, je ne suis coupable que si je lui ai promis que mon système protégeait par défaut les données qu’il y mettait.

Le cas de la faille est moins tranché, mais répond selon moi de la même logique. En l’absence d’engagement formel de l’éditeur sur la qualité du logiciel, il n’a pas à répondre des utilisations qui sont faites de son logiciel.

D’ailleurs la CNIL sait très bien qu’aucun logiciel n’est infaillible. Ce qui est sanctionné ici n’est à mon avis pas tant l’existence d’une faille dans l’absolu, mais le fait que ce type de faille, dans ce contexte, ne peut relever que d’une négligence (le moindre pentest l’aurait révélée). Et cette négligence, c’est bien le responsable de traitement qui l’a fait.

Je serais intéressé de connaitre la position de la CNIL sur une faille non triviale, dans un composant faisant l’objet d’un contrat bien ficelé, avec des engagement de sécurité. Je trouverais logique que la sanction dans ce contexte soit faible, parce que le travail aurait été bien fait, mais imparfait. Si quelqu’un connait un exemple !

Zerdligham

Le 23/04/2019 à 15h00

En pratique, il est impossible de démontrer qu’une intrusion est impossible (sinon, la SSI serait facile!)

Le mieux qu’on puisse démontrer, c’est qu’on a mis en place tous les processus de contrôle et de vérification de la sécurité définis par l’état de l’art.

crocodudule

Le 23/04/2019 à 16h37

Zerdligham a écrit :

Au doigt mouillé et en cinq minutes, je dirais:

Le principe de personnalisation de la peine est justement ce qui permettra à la CNIL de sanctionner plus sévèrement un groupe qui aurait du avoir les moyens d’auditer l’outil que le plombier du quartier.

On est d’accord, mais pourquoi alors ne pas clairement le relever dans la motivation, telles que rédigées aujourd’hui ses décision ne font jamais état de la puissance de feu de la boite visée ou de sa compétence (à l’exception notable de google).

Zerdligham a écrit :

Par contre pour moi c’est bien au responsable de traitement d’être coupable par défaut. L’implication des sous-traitants / éditeurs, doit être gérée au niveau contractuel.

Pour prendre un exemple caricatural, si je fournis un stockage en ligne sans aucune protetion et qu’un client y fout des données perso, je ne suis coupable que si je lui ai promis que mon système protégeait par défaut les données qu’il y mettait.

Le cas de la faille est moins tranché, mais répond selon moi de la même logique. En l’absence d’engagement formel de l’éditeur sur la qualité du logiciel, il n’a pas à répondre des utilisations qui sont faites de son logiciel.

En fait comme je le suggère dans mon premier post, on peut effectivement tenter de se retourner contre l’éditeur qui commet une négligence (ici grossière) sur le terrain de la faute contractuel.

Néanmoins, cela va se traduire par à minima une expertise judiciaire pour objectivement établir comment fonctionne le logiciel et constater une programmation “non conforme aux règles de l’art” (pour reprendre la formule consacrée), à charge néanmoins que le dit expert soit effectivement compétent…

Ceci fait, il va falloir démontrer le préjudice causé par la négligence qui ne peut être celui de l’amende prononcée par la CNIL. Donc souvent rien sauf à démontrer que la faille s’est doublée d’exploitations dommageables.

Donc la procédure sera très aléatoire s’agissant de son résultat, surtout l’éditeur négligeant ne sera pas condamné au titre de la réglementation sur la protection des données à caractère personnel, mais bien sur le droit commun des contrats.

Par conséquent, si comme toi j’estime que le responsable du traitement doit pouvoir voir sa responsabilité engagée (tout comme le sous-traitant), avoir totalement zappé l’éditeur me semble un énorme trou dans la raquette du RGPD & co à partir du moment où un logiciel est conçu pour accueillir des données à caractère personnel.

Mihashi Abonné

Le 23/04/2019 à 19h43

L’éditeur ne manipule pas de données personnelles, il ne peut donc pas être tenu comme responsable d’une mauvaise manipulation de données personnelles…

crocodudule

Le 23/04/2019 à 20h30

Mihashi a écrit :

L’éditeur ne manipule pas de données personnelles, il ne peut donc pas être tenu comme responsable d’une mauvaise manipulation de données personnelles…

Oui cf. mes pots précédents…

Tr4ks Abonné

Le 23/04/2019 à 20h41

Pour ce qui est de la sous-traitance, il faut savoir qu’on ne transfère pas le risque en sous-traitant. C’est à la société d’origine de prendre les mesures adaptées pour couvrir le risque. Et donc de s’assurer que ses sous-traitants font bien leur travail.

Mihashi Abonné

Le 23/04/2019 à 20h46

Et c’est pour cela qu’il n’est pas concerné par le RGPD, mais uniquement par le contrat qui le lie avec le responsable du traitement qui doit spécifier et vérifier le niveau de sécurité attendu.

Tr4ks a écrit :

Pour ce qui est de la sous-traitance, il faut savoir qu’on ne transfère pas le risque en sous-traitant. C’est à la société d’origine de prendre les mesures adaptées pour couvrir le risque. Et donc de s’assurer que ses sous-traitants font bien leur travail.

Si le sous-traitant manipule les données, alors c’est un partage de la responsabilité (plutôt que du « risque » " />).

crocodudule

Le 23/04/2019 à 20h55

Mihashi a écrit :

Et c’est pour cela qu’il n’est pas concerné par le RGPD, mais uniquement par le contrat qui le lie avec le responsable du traitement qui doit spécifier et vérifier le niveau de sécurité attendu.

Je vais pas reprendre mon explication, le fait que le rgpd prétende à la sécurité dès la conception en ignorant l’éditeur est une erreur, de même qu’affirmer que la responsabilité du responsable du traitement est systématique en matière de sécurité indépendamment de sa compétence en est une autre.