Alliancy

L’avertissement public de la Cnil contre DHL

Annabelle Richard DR

 

Annabelle Richard DR

La saga des failles de sécurité se poursuit avec un nouveau mauvais élève sanctionné par la Cnil le 12 juin 2014. Plus de 600 000 fiches clients de DHL étaient en libre accès sur internet.

Par Annabelle Richard, avocate chez Pinsent Masons (*)

Après le piratage d’eBay et l’affaire Domino’s Pizza, c’est au tour de DHL d’être au cœur de l’actualité suite à la délibération rendue par la Cnil, qui l’a sanctionné pour ses manquements aux obligations de sécurité prévues par la loi Informatique et Libertés.

La formation restreinte de la Cnil a prononcé un avertissement rendu public à l’encontre du géant américain du transport et de la logistique, après avoir constaté que plus de 600 000 fiches clients de la société étaient librement accessibles sur Internet. Les manquements de DHL à la loi Informatique et Libertés ne s’arrêtent pas là. La Cnil avait également constaté que certaines fiches clients dataient de 2007, et ce sans aucune justification, en totale violation des obligations relatives à la durée de conservation des données.

C’est après avoir été alertée de l’existence de possibles failles de sécurité sur le site Internet de DHL que la Cnil a procédé à différents contrôles dans ses locaux en février 2014. A cette occasion, les agents de la Cnil ont découvert que 684 778 fiches clients référencées dans un moteur de recherche pouvaient être consultées librement sur internet, sans aucune compétence ou manipulation technique particulière.

Ces fiches contenaient des données à caractère personnel concernant les clients de DHL ayant sollicité la  » relivraison  » de leur commande. Parmi les données contenues dans ces fiches, se trouvaient notamment des informations sur l’identité des clients de DHL, leurs adresses et autres coordonnées ainsi que des instructions précises concernant leur livraison.

Des données personnelles accessibles

L’impact d’une telle faille est considérable et ce, d’autant que le procès-verbal de contrôle avait fait ressortir que certaines données présentaient  » un réel caractère d’intimité, révélant des éléments relatifs à la santé des personnes ou relatives à la sécurisation des accès aux logements de clients « .

DHL avait en réalité déjà connaissance depuis la fin de l’année 2013 de l’existence d’une faille de sécurité affectant les accès internes de la base de données litigieuse. La Cnil lui a donc reproché de n’avoir rien entrepris pour s’assurer de la sécurité de l’ensemble de l’application, ce qui lui aurait pourtant permis de découvrir la deuxième faille de sécurité affectant son site internet.

C’est d’ailleurs la raison pour laquelle la Cnil a considéré que DHL avait indubitablement manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients. En effet, le transporteur ne pouvait s’exonérer de sa responsabilité au titre d’une faille de sécurité constatée dans le cadre de la mission de contrôle de la Cnil et ce, alors que DHL connaissait l’existence d’une autre faille de sécurité sur cette même application.

Dans cette affaire, la Cnil a prononcé un avertissement contre DHL et compte tenu du nombre de clients concernés et de la nature des données rendues accessibles par la faille de sécurité, la Commission a choisi de rendre sa décision publique sans aucun procédé d’anonymisation.

En droit français, la violation de l’obligation de sécurité peut entraîner l’application de sanctions administratives telles que l’avertissement, mais aussi des sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende, voire 1 500 000 euros en présence d’une personne morale.

Si, en l’espèce, la sanction choisie par la Cnil à l’encontre de DHL peut paraître légère au vu de la masse de données affectées par la faille de sécurité, il ne faut toutefois pas négliger le caractère dissuasif que peut avoir l’impact sur la réputation d’une société visée par un tel avertissement rendu public.

C’est d’ailleurs l’objectif poursuivi par la Cnil, qui, malgré des pouvoirs de sanction relativement limités, a déjà démontré l’efficacité d’une telle démarche face à d’autres grands exploitants de données. Rappelons-nous la décision rendue par la Cnil en janvier 2014 contre Google qui a ensuite tenté d’échapper, sans succès, à la publication sur sa page d’accueil d’un communiqué portant sur sa condamnation à 150 000 euros d’amende par la Cnil.

Les internautes s’intéressent et s’inquiètent de plus en plus de la capacité des professionnels à assurer la sécurité et la confidentialité de leurs données personnelles. Les responsables de traitement ne peuvent donc plus se permettre de négliger la confidentialité et la sécurité des données qu’ils traitent, les conséquences d’une faille de sécurité pouvant leur causer un préjudice économique considérable, que ce soit en termes de perte de chiffre d’affaire ou de clientèle, mais avant tout d’atteinte à leur réputation.

Les responsables de traitement doivent prendre toutes les mesures adéquates afin d’assurer l’intégrité des données contenues dans leurs fichiers clients, ce qui peut passer par la mise en place de moyens de chiffrement des données transitant sur les réseaux ou encore de contrôles des accès physiques concernant l’identité du personnel. En tout état de cause, il est indispensable de procéder à une analyse de risques permettant d’identifier les mesures de sécurité essentielles à mettre en place en fonction du type de traitement envisagé et d’évaluer le coût de la mise en œuvre de la technique utilisée.

Le cas de DHL est loin d’être le premier traité par la Cnil et gageons qu’il sera malheureusement loin d’être le dernier. Entre autres exemples marquants, l’on peut citer le cas d’EURO-INFORMATION, filiale du groupe Crédit-Mutuel-CIC, sanctionnée par la CNIL le 21 juin 2012, celle-ci ayant constaté qu’environ 85 000 salariés du groupe avaient accès à des données confidentielles de nature bancaire, ou encore l’avertissement prononcé par la Cnil à l’encontre de TOTAL RAFFINAGE MARKETING, le 11 avril 2013 en raison d’un défaut de sécurité et de confidentialité de données personnelles à l’occasion d’élections professionnelles.

(*) Avocate à la Cour à Paris et Attorney at Law au barreau de l’Etat de New York, Annabelle Richard est experte en droit des technologies de l’information et de l’Internet et, plus particulièrement, dans l’e-commerce, la protection des données personnelles et la sécurité des réseaux.

 

Quitter la version mobile