Une entreprise et son sous-traitant ont été condamnés à des amendes pour ne pas avoir pris assez rapidement des mesures face à des attaques informatiques.

Pour la première fois, la CNIL (NDRL: Commission nationale de l’informatique et des libertés, France) a sanctionné un responsable de traitement et son sous-traitant, à des amendes de, respectivement, 150.000 et 75.000 euros pour n’avoir pas mis en œuvre des mesures de sécurité adéquates comme l’impose l’article 32 du RGPD (NDRL: Règlement européen sur la protection des données) qui prévoit que «le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque».

Les noms des sociétés condamnées n’ont pas été rendus public. Le communiqué de la CNIL renseigne que l’une d’elles exploite un site internet de vente en ligne à partir duquel plusieurs millions de clients effectuent régulièrement des achats, tandis que l’autre s’était vu confier la gestion dudit site internet.

A de multiples reprises, ce site internet a été victime d’attaques dites de « credential stuffing » (« bourrage d’identifiants »). Ces attaques, très en vogue actuellement, sont menées en deux temps. Dans un premier temps, des hackers récupèrent ou achètent sur le « dark web » des listes contenant des centaines de millions de couples « identifiants/mots de passe ». Ils tentent ensuite de se connecter aux comptes des clients du site pris pour cible à l’aide de « robots [1]». Ces derniers déroulent les listes d’identifiants et de mots de passe, de manière automatisée, avec pour objectif d’accéder à des comptes de clients. Les hackers comptent évidemment sur le fait que les internautes se servent habituellement des mêmes identifiants et mots de passe pour plusieurs sites, sans changer leur mot de passe.

Les attaques, régulièrement menées sur le site internet en question pendant un an et demi, ont permis aux hackers d’obtenir les nom, prénom, adresse courriel et date de naissance de près de 40.000 clients, ainsi que le numéro et le solde de leur carte de fidélité et des informations liées à leurs commandes.

La CNIL a reproché aux sociétés condamnées d’avoir tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées. Pourtant, celles-ci n’étaient pas restées sans réaction et avaient entrepris le développement d’un outil pour empêcher de nouvelles attaques. La CNIL a cependant considéré que ce développement avait pris trop de temps et que des mesures plus rapides auraient pu être mises en œuvre[2].

Interprétation large des obligations

La CNIL mentionne, dans sa communication sur cette affaire, que si « le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant », le sous-traitant doit, quant à lui, « rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement ».

L’obligation mise à charge du sous-traitant dans le RGPD est toutefois loin d’être aussi explicite que ne l’indique la CNIL dans son communiqué. Le RGPD énonce que le sous-traitant doit « aider le responsable du traitement à garantir le respect de l’obligation de sécurité (…) compte tenu de la nature du traitement et des informations à disposition du sous-traitant ».

L’interprétation que semble donner la CNIL des obligations du sous-traitant va bien au-delà d’une assistance du responsable du traitement pour garantir la sécurité, puisqu’elle semble indiquer que le sous-traitant devrait, d’initiative, rechercher les solutions les plus appropriées et les proposer au responsable du traitement.

Ceci doit sonner comme une piqûre de rappel quant à l’importance de définir clairement, dans le contrat de sous-traitance, les obligations respectives des parties en matière de sécurité, compte tenu des interprétations divergentes qui pourraient surgir. C’est également un bon moyen de s’assurer d’une exonération de responsabilité, en tout ou en partie, si une violation de données survient.

Antoine Declève

Avocat Cairn Legal

(1) Réseaux d’ordinateurs interconnectés ou botnet