Environ la moitié des sanctions de la CNIL concernent un manquement à l’obligation de sécurité, ce qui en fait un enjeu majeur pour la protection des personnes. La sécurisation des sites web figurait donc parmi les thèmes prioritaires de contrôle de la CNIL en 2021. Elle a de ce fait effectué 21 contrôles auprès d’organismes publics et privés. 15 d’entre eux ont abouti à une mise en demeure notamment pour défaut de chiffrement des données ou de gestion/sécurisation de comptes utilisateurs.
Une mauvaise sécurisation des sites web peut conduire à des violations de données personnelles plus ou moins graves. En 2021, la CNIL a reçu plus de 5000 notifications de violations de données.
- Les obligations de sécurité posées par l’article 32 du RGPD
Pour rappel, l’article 32 du RGPD relatif à l’obligation du responsable de traitement de garantir la sécurisation des données personnelles traitées, et ce tout au long de la chaine des traitements (y compris en cas de sous-traitance), exige de prendre les mesures techniques et organisationnelles nécessaires/appropriées afin de garantir un niveau de sécurité (pseudonymisation, chiffrement, tests d’efficacité des mesures etc) adapté aux risques (destruction, perte, altération, divulgation, ou accès non autorisés).
Afin de justifier ses décisions, et afin de faire usage de documentation accessible à tous pour fonder les reproches, la commission fait usage de différentes sources telles que le référentiel général de sécurité (RGS)[1], les recommandations de l’ANSSI en matière de sécurité applicables aux autorités administratives, et ses propres recommandations en matière de mots de passe[2]. Ces textes ont vocation à fournir aux organismes, en fonction de leur situation, les mesures de sécurité minimales en matière d’échanges électroniques, d’authentification par mot de passe (complexité, conservation, renouvellement, etc.), ainsi qu’en matière de confidentialité et de disponibilité des données.
2. Les manquements visés
Les 15 mises en demeure publiées par la CNIL sont toutes relatives à des manquements à la sécurité de sites web.
Elle pointe tout d’abord, le chiffrement insuffisant des données (garantie de confidentialité), les manquements ont été caractérisés du fait de l’utilisation du protocole HTTP et non HTTPS (accès à des sites web non sécurisés), d’une version obsolète du protocole TLS (sécurité des données en transit), ainsi que de certificats/suites cryptographiques non conformes en matière d’échanges avec les serveurs des sites.
Pour ce qui est de la protection des comptes utilisateurs, la commission a relevé un défaut des dispositifs servant à tracer les connexions anormales aux serveurs (principe de journalisation[3]) ainsi qu’une sécurité insuffisante des mots de passe et de leurs procédures de renouvellement.
Il est important de noter que d’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liés à une problématique de mots de passe[4]. En France, environ 60 % des notifications reçues par la CNIL en 2021 étaient liés à du piratage[5] et un grand nombre aurait pu être évitées par le respect de bonnes pratiques en matière de mots de passe, d’où l’importance d’établir une solide politique sur le sujet (création, authentification, conservation, renouvellement, mesures complémentaires). Il est rappelé à cet égard qu’il existe notamment des outils permettant la génération de mots de passe complexes (longueur minimum, majuscules, minuscules, chiffres, caractère spécial, etc.).
3. Autres conseils de sécurisation des données
Dans sa communication « Cybersécurité – Le RGPD : la meilleure prévention contre les risques cyber », la CNIL identifie des manquements fréquents concernant des données librement accessibles par modification d’URL (défaut d’authentification, URL prédictible), l’absence de verrouillage automatique des sessions des postes de travail, ou encore un défaut de protocole de tests afin de garantir l’absence de vulnérabilité.
La commission cite également la limitation des ports de communication, la limitation des accès aux personnes habilitées, le recueil du consentement pour le dépôt de cookies non essentiels, la limitation du nombre de composants mis en œuvre, la mise en place d’outils de détection des vulnérabilités/failles de sécurité, l’utilisation d’antivirus (détection de logiciels malveillants), la mise à jour régulière de l’ensemble des logiciels utilisés, ainsi que la mise en place d’une procédure de journalisation (traçabilité des activités des utilisateurs, détection d’incidents et d’accès non autorisés).
Toutes ces mesures techniques doivent s’accompagner de documents juridiques et de process organisationnels afin d’organiser une complète conformité au RGPD.
Charlotte GALICHET
Emma LAFARGE
[1] Cadre réglementaire pour les échanges entre les usagers et les autorités administratives
[2] https://www.cnil.fr/fr/mots-de-passe-des-recommandations-de-securite-minimales-pour-les-entreprises-et-les-particuliers ; https://www.cnil.fr/fr/mot-de-passe
[3] https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-relative-aux-mesures-de-journalisation
[4] CNIL (2022), « Rapport annuel 2021 », p.92, accessible à : https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_42e_rapport_annuel_-_2021.pdf
[5] CNIL (2022), « Cybersécurité – Le RGPD : la meilleure prévention contre les risques cyber », p.3, accessible à : https://www.cnil.fr/sites/default/files/atoms/files/cybersecurite_-_chiffres_2021.pdf