• Quelles obligations pour les fournisseurs de services numériques et les opérateurs de services essentiels ?

La directive 2016/1148 du 6 juillet 2016 dite « Directive NIS » impose un ensemble de mesures destinées à assurer un niveau de sécurité commun élevé pour les réseaux et systèmes d’information dans l’Union européenne. Cette directive traduit la volonté de créer en Europe un environnement digital fiable et sécurisé.

Cette directive a été transposée en droit français par la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité et créé deux catégories d’acteurs qui devront être soumis à des standards plus élevés en matière de sécurité informatique. Il s’agit des opérateurs de services essentiels (OSE) et des fournisseurs de services numériques.

Le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique précise certains éléments du régime juridique des opérateurs de services essentiels (OSE).

• Manquement de Dailymotion à son obligation d’assurer la sécurité et la confidentialité des données

Le 24 juillet 2018, la formation restreinte de la CNIL a prononcé une sanction de 50 000 euros à l’égard de la société Dailymotion pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données des utilisateurs de sa plateforme.

La formation restreinte a pu constater la possibilité d’accéder au mot de passe d’un compte administrateur de la base de données de la société, stocké en clair sur la plateforme « Github ».

En outre, la formation restreinte relève que des utilisateurs extérieurs disposant de droit d’administration peuvent se connecter à distance au réseau interne de Dailymotion, sans qu’il n’y ait de mesure de limitation de ces accès.

Ces vulnérabilités ont ainsi permis d’utiliser le compte administrateur pour accéder à distance à la base de données de Dailymotion et extraire les données personnelles des utilisateurs, comprenant 82,5 millions d’adresses de compte ainsi que 18,3 millions de mots de passe chiffrés.

Si la formation restreinte admet que la réussite de l’attaque résulte bien de la conjonction de plusieurs facteurs dont certains ne sont pas imputables à Dailymotion, elle considère toutefois que le manquement à l’article 34 de la loi du 6 janvier 1978 modifié est constitué dès lors que la société n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

En outre, tout en rappelant que par certains aspects l’attaque subie par Dailymotion peut être qualifiée de sophistiquée, la formation restreinte a prononcé une sanction pécuniaire d’un montant de 50 000 euros. Cette sanction illustre l’application du principe de proportionnalité du montant des amendes prononcées par la CNIL.

Enfin, la formation restreinte décide de rendre publique sa décision afin de « sensibiliser les internautes quant aux risques pesant sur la sécurité de leurs données », notamment « au regard du nombre très important de données en cause, [et] du contexte actuel dans lequel se multiplient les incidents de sécurité ». A travers ce constat, la CNIL encourage également, de manière indirecte, les responsables de traitement à renforcer leurs mesures de sécurité comme l’y invite les dispositions de l’article 34 du RGPD désormais applicables.

• Sanction pécuniaire prononcée à l’encontre de l’OPH de Rennes pour l’utilisation du fichier des locataires pour une finalité incompatible avec la finalité initiale

La CNIL a prononcé une sanction de 30 000 euros à l’encontre de l’Office Public de l’Habitat de Rennes Métropole ARCHIPEL HABITAT (l’OPH) de Rennes [1] pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social.

En effet, la CNIL a été saisie d’une plainte faisant suite à l’utilisation par l’OPH des données des locataires afin de leur adresser un courrier concernant les nouvelles dispositions réglementaires relatives au montant des APL.

La formation restreinte analyse ici la notion de finalité compatible. En effet, l’article 6 de la loi Informatique et libertés modifiée du 6 janvier 1978 prévoit que les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Il s’agit donc de déterminer si l’utilisation des données pour l’envoi de ce courrier est compatible avec la finalité de gestion sociale pour laquelle les données ont été collectées.

L’OPH considère que cette communication entre dans ses missions de bailleur et se rattache à la finalité de traitement poursuivie en lien avec la bonne exécution du contrat de bail et l’information des locataires sur les éléments susceptibles d’affecter le bail.

A l’inverse, la formation restreinte considère que « Compte tenu des termes utilisés par ce courrier et de la teneur générale du message, qui a d’ailleurs été envoyé à l’ensemble des locataires qu’ils bénéficient ou non des APL, […] il n’est pas de nature purement informative. »

Elle déduit des termes employés et du fait que ce courrier a été adressé à l’ensemble des locataires et non pas seulement aux bénéficiaires des APL, que cet envoi poursuit une finalité politique, dépassant les missions de l’OPH.

Il convient à ce titre de rappeler que la CNIL accompagne les acteurs sociaux notamment par l’adoption d’un pack de conformité « Logement social » en 2014. Elle rappelle dans ce pack le principe d’une finalité légitime et cite comme exemple que « un fichier qui concerne les dossiers des résidents d’un ensemble immobilier ne doit servir qu’à la gestion du parc. Les informations ne peuvent en principe être utilisées à des fins de prospection commerciale ou politique. »

Ainsi, sans dénier la possibilité pour l’OPH d’adresser des courriers informatifs aux locataires, en lien avec l’exécution du contrat de bail, la formation restreinte apprécie ici la teneur du courrier et le contexte dans lequel celui-ci a été adressé.

En ce sens, le Règlement général sur la protection des données personnelles du 27 avril 2016 (RGPD), bien qu’il ne soit pas applicable aux faits de l’espèce intervenus avant son application, reprend cette notion et donne, à l’article 6, des critères d’appréciation du caractère compatible ou non du traitement.

En particulier, il prévoit que le caractère compatible ou non se déduit notamment de l’appréciation d’un lien entre les finalités, du contexte dans lequel les données ont été collectées ou encore de la nature des données.

En l’espèce, le raisonnement de la CNIL s’appuie notamment sur le contexte de la collecte des données en lien avec les missions de l’OPH de gestion du patrimoine immobilier, d’instruction des demandes de logements sociaux et de suivi social personnalisé de certains locataires, qui se distinguent d’un contexte politique.

La formation restreinte de la CNIL soulève également qu’une information par affichage aurait pu être utilisée, ce qui aurait permis d’informer les locataires sont utiliser leurs données personnelles.

Cette sanction de 30 000€ prend en compte le nombre de personnes touchées, l’OPH indiquant gérer 16 000 logements sociaux.

Enfin, il convient de souligner que la formation restreinte a rendu publique la décision afin de « rappeler publiquement à l’ensemble des acteurs du secteur social l’interdiction d’utiliser des fichiers d’usagers pour des finalités autres et incompatibles avec les finalités initiales ».

[1] délibération n°SAN-2018-007 du 24 juillet 2018