S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Interview de la CNIL sur les défauts de sécurisation des données personnelles

Gwendal Le Grand, chef du service de l'expertise informatique de la CNIL

Après plusieurs récents épisodes faisant état de divulgations d’identifiants et de mots de passe, nous avons contacté la Commission nationale pour l’informatique et les libertés (CNIL) afin d’avoir quelques précisions, notamment juridiques, s’agissant des problématiques de sécurisation des données personnelles. Gwendal Le Grand, chef du service de l’expertise informatique de la CNIL, a répondu à nos questions.

cnil

Quelles sont les obligations des sites Internet s’agissant de la sécurisation des données personnelles ?

La loi Informatique et Libertés du 6 janvier 1978 impose aux entreprises - ou aux éditeurs de sites Web - qui traitent des données personnelles de prendre « toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34). La loi prévoit donc une obligation de sécurité. Si vous ne respectez cette obligation, des sanctions peuvent être prononcées au titre de la même loi Informatique et Libertés.

 

Au service de l’expertise informatique de la CNIL, on vérifie dans les dossiers de formalités - que ce soit des déclarations ou des demandes d’autorisation - si la sécurité est conçue correctement. Notre service examine les architectures proposées, peut faire des recommandations... Nous avons publié plusieurs guides relatifs à la sécurité des données, et à destination des entreprises [Disponibles ici]. 

Est-ce une obligation de moyens ou de résultat ?

Il s’agit plutôt d'une obligation de moyens, mais renforcée. La loi prévoit des sanctions si les mesures de sécurité ne sont pas efficaces. Il faut aussi reconnaître que la sécurité dépend des moyens mis en place par un éventuel attaquant, et qu’il n’y a pas de sécurité efficace à 100%. Ceci dit, la loi prévoit tout de même des sanctions si les mesures de sécurité mises en place n’ont pas été efficaces. De ce point de vue, cette obligation « renforcée » s’approche d’une obligation de résultat.

Quels sont les critères pris en compte par la CNIL pour vérifier que ces obligations sont bien remplies ?

Nous pouvons examiner le traitement de données personnelles en amont, au moment où il est déclaré auprès de la CNIL. La Commission vérifie notamment les mesures de sécurité et si elles ne sont pas satisfaisantes, elle demande au responsable de traitement de les améliorer. Au final, on fait évoluer la spécification du système avec le responsable avant de délivrer une éventuelle autorisation. Si le traitement relève du régime de la déclaration, la CNIL envoie un récépissé (cela ne signifie pas qu’elle approuve le traitement).

 

Une fois que le traitement est en place, la CNIL détient un pouvoir de contrôle et de sanction. La Commission dispose d’un service des contrôles, composé de juristes et d’informaticiens, qui se rendent dans les entreprises, sans les prévenir, sur décision du président de la CNIL, afin de vérifier sur place si la loi Informatique et Libertés est correctement appliquée. On contrôle dans ce cadre les aspects juridiques, mais aussi techniques, pour vérifier que les systèmes informatiques sont conçus et utilisés dans le respect de la loi. 

 

Ces contrôles a posteriori peuvent par exemple être déclenchés par des plaintes reçues par la CNIL, ou bien lorsque nous avons connaissance, par exemple par la presse, de problèmes de sécurité. Ils peuvent également s'opérer dans le cadre du programme annuel des contrôles, défini en début d'année par la CNIL. Par exemple, pour l'année 2012, le programme annuel prévoit notamment des contrôles en matière de sécurité des données de santé (voir ici).

Quels sont les pouvoirs de la CNIL face à d’éventuels manquements de ces obligations ?

La CNIL dispose d’un pouvoir de sanction. Elle peut dans un premier temps prononcer un avertissement (public ou non) à l'égard du responsable de traitement défaillant, ou le mettre en demeure de prendre un certain nombre de mesures pour qu'il corrige certaines pratiques. Cette mise en demeure peut désormais être rendue publique. Dans un second temps, elle peut prononcer des sanctions financières. Actuellement, la loi prévoit un maximum de 150 000 euros, plafonné à 5 % du chiffre d’affaires.

 

Le cadre juridique européen en matière de protection des données personnelles est toutefois en discussion, et une réforme devrait normalement être adoptée à l’horizon 2014. Il est prévu que les sanctions données par les CNIL européennes puissent aller jusqu’à 2 % du chiffre d’affaires mondial consolidé d’une entreprise.

 

Aujourd’hui, la sanction financière n’est pas très dissuasive pour les sociétés disposant de moyens importants, mais elle pourra l’être dans quelques années. Pour l’instant, ce sont les avertissements ou les mises en demeures rendues publiques que les responsables de traitements craignent le plus.

Est-ce qu’il y a des motifs qui pourraient permettre d’échapper à une sanction de la CNIL, par exemple si le défaut de sécurisation provient d'un logiciel, libre ou propriétaire, utilisé par une entreprise ?

Il faut bien comprendre que c’est l’entreprise qui traite les données personnelles qui est responsable de traitement. D’après la loi Informatique et Libertés, c’est lui qui détermine les finalités (pourquoi je traite les données personnelles) et les moyens (comment je les traite). C’est cette entreprise qui est responsable du point de vue de la loi. Si elle utilise certains systèmes, fait appel à des sous-traitants... quand bien même le problème vient de ces systèmes, la CNIL sanctionnera le responsable de traitement. Ce dernier peut ensuite se retourner contre ses sous-traitants.

 

En tant que responsable de traitement, vous êtes responsable de ce que vous mettez en place, et de la sécurité des données personnelles que vous traitez, c’est ça qu’il faut retenir. 

Si un manquement survient, les victimes doivent-elles être notifiées ?

Depuis 2009, une directive européenne, transposée récemment en droit français, oblige de notifier une violation de données personnelles, donc une faille de sécurité, quand on est dans le périmètre des opérateurs de télécoms. Si un tel problème survient, il doit prévenir la CNIL puis informer les personnes concernées si la faille de sécurité peut porter atteinte à leurs données à caractère personnel ou à leur vie privée.

 

Quand il s’agit d’autres traitements, il n’y a pas encore d’obligation de notification. Cela est toutefois à l’étude dans le cadre de la révision du cadre juridique européen. L’obligation de notification de violation des données personnelles pourrait s’étendre à tous les responsables de traitements de données personnelles, quel que soit leur secteur.

 

Néanmoins, ce n’est pas parce qu’il n’y a pas d’obligation juridique de notifier les personnes que les sites ne le font jamais. Si les sites le font, c’est très bien. Quand un site subit une faille de sécurité, il faut aider les personnes à se protéger, d’autant que l’impact ne se limite pas toujours à l’utilisation d’un seul site. C’est le cas par exemple si les identifiants et mots de passe sont perdus par un site et que l’internaute utilise ces mêmes identifiants et mots de passe ailleurs (ce qui est d’ailleurs déconseillé).

 

En 2010, il y a eu une proposition de loi en France, qui visait à renforcer la protection des personnes dans le monde numérique. À l’époque, il s’agissait déjà d’introduire une obligation de notification de violation des données à caractère personnel. Elle n’avait toutefois pas été adoptée par le Parlement, mais cette idée est en train de revenir avec le projet de règlement européen. La notification des violations de données personnelles va probablement devenir une obligation dans les années à venir. 

Quels sont les droits de ceux qui s’estiment victimes d’un défaut de sécurisation d’un site ?

Ils peuvent saisir la CNIL, qui peut par exemple décider de sanctionner l’éditeur du site, comme je l’ai expliqué précédemment. Mais cela peut également déclencher dans certains cas un plan d’indemnisation des victimes, qui est traité à ce moment là de manière classique sur le terrain de la responsabilité civile délictuelle. 

Quelle est la position de la CNIL s’agissant plus particulièrement des mots de passe non cryptés ?

C’est une pratique à proscrire. Un mot de passe ne doit pas être stocké en clair. Dans la plupart des cas, ce sont les empreintes (valeur de sortie d’une « fonction de hachage ») des mots de passe qui sont stockées dans les systèmes. S’il n’y a pas du tout de transformation du hachage et qu’un attaquant récupère les mots de passe hachés, cela peut être extrêmement facile de faire par exemple une attaque par force brute, où l’on va essayer tous les mots de passe possibles en appliquant la fonction de hachage jusqu’à tomber sur le résultat. Et cela peut aller très vite avec les machines d’aujourd’hui. C’est donc quelque chose qu’il ne faut pas faire non plus. Quand vous hachez une information, il faut la hacher avec une clé secrète.

 

On a des recommandations en termes de longueur et de complexité des mots de passe, qu’il est possible de trouver dans nos guides de sécurité. 

Avez-vous déjà prononcé des sanctions pour des cas de divulgation de mots de passe ?

Nous avons traité un certain nombre de dossiers où il y avait effectivement des mots de passe divulgués. Des contrôles et des mises en demeure ont déjà été prononcées concernant des défauts de sécurité au sens large dans des traitements.

 

Merci Gwendal Le Grand.

Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Publiée le 16/07/2012 à 09:09

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 5 commentaires

Avatar de jackjack2 INpactien
jackjack2 Le lundi 16 juillet 2012 à 11:02:29
Inscrit le lundi 18 juin 12 - 643 commentaires
Avez-vous déjà prononcé des sanctions pour des cas de divulgation de mots de passe ?

Nous avons traité un certain nombre de dossiers où il y avait effectivement des mots de passes divulgués. Des contrôles et des mises en demeure ont déjà été prononcées concernant des défauts de sécurité au sens large dans des traitements.

Ouais, pas de sanction quoi

En gros la CNIL fera rien, étonnant
Avatar de tAran INpactien
tAran Le lundi 16 juillet 2012 à 11:46:12
Inscrit le samedi 21 mai 05 - 3879 commentaires
Je ne serai pas étonné que les effectifs de la CNIL soient triplés d'ici 5 ans, un peu comme à l'image de l'ANSSI
Avatar de culi INpactien
culi Le lundi 16 juillet 2012 à 12:10:35
Inscrit le mardi 8 février 11 - 54 commentaires
La CNIL fait partie de ces 42 commissions liées à l'état ne servant à rien et coutant + de 500 millions d'€ en fonctionnement chaque année (sans parler que généralement ça sert de retraite en or à certain politique has been).
A l'heure ou il faut se serrer la ceinture, il serrait bon de réduire ces frais largement dispensable.
Avatar de Winderly INpactien
Winderly Le lundi 16 juillet 2012 à 15:46:35
Inscrit le vendredi 19 mai 06 - 7547 commentaires

Ouais, pas de sanction quoi

En gros la CNIL fera rien, étonnant

Je l'ai compris comme ça moi aussi.
Quand je dis que la CNIL sert à rien c'est pas toujours faux.
Avatar de ben5757 INpactien
ben5757 Le mardi 17 juillet 2012 à 10:20:49
Inscrit le samedi 3 mai 08 - 284 commentaires


"C’est donc quelque chose qu’il ne faut pas faire non plus. Quand vous hachez une information, il faut la hacher avec une clé secrète."


Ok mais avec quel algorithme ?


Une politique des mot de passes robuste ( plus de 8 caractère avec au moins une majuscule et un non alpha-numérique) avec application d'un bon algorithme de hachage ( SHA-512) n'est il pas une meilleure pratique ?

;