CNIL, Cybersécurité et article 32 RGPD : 15 sites mis en demeure

La cybersécurité, un réel enjeu urgent et impératif 

L’article 32 du RGPD prévoit que le responsable du traitement et le sous-traitant doivent “mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Parmi les exemples des mesures applicables citées en exemple par le RGPD, on trouve la pseudonymisation, le chiffrement ou encore les pentest. 

Et cet article 32 est fondamental. En effet, la protection des données, consistant en  la protection de leur intégrité et de leur confidentialité, est l’un des 6 principes devant diriger tout traitement de données personnelles (comme indiqué à l’article 5 du RGPD). 

La cybersécurité était l’une des thématiques prioritaires de la CNIL pour 2021. C’est au regard de cette thématique que l’ensemble de ces contrôles ont été réalisés. 

En effet, la CNIL a relevé une augmentation de 79% de violations de données personnelles entre 2020 et 2021. Et ces statistiques ne font que s’aggraver.Dernièrement, c’est un hôpital parisien qui a été victime d’une cyberattaque, immobilisant l’ensemble du système, en échange d’une rançon de 10 millions d’€. Ou encore récemment, la société Dedalus, créatrice de solutions logicielles pour les laboratoires, qui fut victime d’une fuite de données révélant les données de santé de près de 500 000 personnes.

C’est face à cette augmentation exponentielle de cyberattaques que la CNIL a décidé d’opérer cette série de contrôles. 

Des contrôles créant un 1er constat sur la cybersécurité en France

Ce sont au total 21 organismes qui ont été contrôlés par l’autorité de contrôle. Comme le RGPD s’applique à tous, tous les secteurs et tous les organismes ont été concernés. Hôpitaux, universités, plateformes de e-commerce…. Qu’elles soient issus du secteur privé ou public, c’est auprès de ces 21 structures que la CNIL a usé de son pouvoir de contrôle, afin de faire un premier constat, 4 ans après l’entrée en vigueur du RGPD, de la cybersécurité et la protection des données en France. 

Et ce constat n’est pas forcément bon. Sur 21 organismes contrôlés, 15 ont été mis en demeure par la CNIL. 

Mais alors, quels sont les principaux manquements relevés ? La CNIL s’est appuyée sur les recommandations faites par l’ANSSI (l’agence nationale de sécurité des systèmes d’information),  la référence en matière de cybersécurité, pour identifier et mesurer ces principaux manquements.

L’insuffisance de chiffrement 

Le chiffrement, c’est rendre un contenu initialement lisible illisible grâce à une clé de chiffrement. Le chiffrement peut être symétrique : c’est à dire que le contenu peut redevenir lisible grâce à la même clé qui a permis de le chiffrer; ou asymétrique : la clé utilisée pour le chiffrement est différente de celle utilisée pour le déchiffrement.  La CNIL relève durant ses contrôles que de nombreuses structures conservent ou organisent la transmission et le transfert de données au travers de fichiers dits clairs (non chiffrés). Par exemple, demander l’envoi d’une pièce d’identité par mail ne saurait être considéré comme un comportement respectant les principes de la cybersécurité. De même, conserver des données telles que des identifiants et mots de passe d’utilisateurs dans un fichier clair constitue un risque pouvant être réduit par l’utilisation du chiffrement. 

La protection de comptes utilisateurs 

Par ailleurs, la CNIL relève certains comportements, illustrant une certaine négligence en matière de protection des comptes d’utilisateurs d’un site web. 

En effet, la CNIL recommande que soit détectée et notifiée toute connexion anormale.

C’est également concernant la politique de mots de passe mise en place par les entreprises que la CNIL tire la sonnette d’alarme. En effet, l’une des mesures pouvant être mise en place simplement dans le cadre de l’article 32 est la création d’une politique de mots de passe exigeant la création de mots de passe robustes, complexes. C’est un manquement qui a déjà justifié de lourdes condamnations : la société Brico Privé fut condamnée en juillet 2021 à une amende de 500 000€ par la CNIL. Parmi les manquements reprochés, on retrouve l’absence d’une politique de mots de passe robuste. Le groupe hôtelier Accor fut également condamné en août 2022, à une amende de 600 000€, et on retrouve parmi les manquements reprochés, cette même absence d’une politique de mots de passe robustes et complexes.

Et maintenant ?

Les contrôles organisés à la suite de la thématique prioritaire ont permis de créer un premier constat, un premier coup d’œil sur le respect et l’application des principes de cybersécurité par les entreprises et structures françaises. Et nous l’avons vu, le constat n’est pas forcément positif.  

Les organismes concernés par ces mises en demeure ont disposé de 3 mois pour organiser leur mise en conformité au regard des manquements du RGPD qui leurs ont été reprochés. 

Plus que jamais, ces contrôles et les récentes condamnations de la CNIL liées à la cybersécurité traduisent la fin d’une période de tolérance de ces négligences. En effet, il est urgent d’organiser votre mise en conformité au sein de votre entreprise. La plupart des organismes étant concernés par le RGPD, il est essentiel que cet enjeu soit pris au sérieux, au risque de subir une sanction.