Formations qui pourraient vous intéresser
Formations qui pourraient vous intéresser
Aucun produit dans votre panier.
Aucun produit dans votre panier.
Publié le - Mise à jour le
La CNIL a sanctionné en ce début d’année 2021 un responsable de traitement de 150 000 euros d’amende et son sous-traitant, en charge de la gestion du site web du responsable du traitement, de 75 000 euros d’amende pour ne pas avoir pris des mesures de sécurité satisfaisantes sur ce site web, en particulier pour faire face à des attaques informatiques par bourrage d’identifiants (ou credential stuffing). Toutefois, ces deux décisions de sanctions n’ont pas été rendues publiques par la CNIL.
Pour en savoir plus :
Suite à la réception de plusieurs dizaines de notifications de violations de données personnelles entre juin 2018 et janvier 2020 en lien avec un site web à partir duquel des millions de clients effectuent régulièrement des achats, la CNIL a effectué des contrôles auprès du responsable du traitement et de son sous-traitant en charge de la gestion de ce site web. Elle a constaté que le site web avait subi des attaques de type credential stuffing.
Remarque :
Il est utile de préciser que les attaques de type credential stuffing suivent en général un même scénario à savoir que les attaquants récupèrent d’abord des listes d’identifiants et de mots de passe « en clair » publiées sur le dark web suite à une violation de données personnelles. Ensuite, partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (adresse e-mail) pour différents services, ils utilisent des « robots » pour réaliser des tentatives d’authentification massives sur des sites et services web. En cas d’authentification réussie, ils peuvent notamment avoir accès à des données personnelles associées aux comptes web, changer le mot de passe des comptes pour que leurs utilisateurs ne puissent plus utiliser leurs comptes et dans certains cas (si la carte bancaire du client est enregistrée) effectuer des achats (cf. Communiqué CNIL du 12 janvier 2021 « La violation du trimestre : attaque par credential stuffing sur un site web »).
En l’espèce, la CNIL a constaté que des attaquants ont pu prendre connaissance des données personnelles associées aux comptes clients à savoir les nom, prénom, adresse e-mail, date de naissance, numéro et solde de la carte de fidélité, des informations liées aux commandes des clients du site web.
L’article 32 du RGPD prévoit que « (…) que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement (…) ».
Le responsable du traitement et son sous-traitant avaient opté pour le développement d’un outil permettant de détecter et de bloquer ces attaques et dont la mise en œuvre a duré un an à compter des premières attaques. Or, la CNIL a relevé que, par manque de diligence, les données personnelles d’environ 40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019. La CNIL a donc considéré que le responsable du traitement et son sous-traitant avaient manqué à leur obligation de sécurité des données personnelles des clients prévue à l’article 32 du RGPD car ils avaient tardé à mettre en place des mesures de sécurité permettant de lutter efficacement contre ces attaques répétées. La CNIL a précisé que d’autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes concernées telles que la limitation du nombre de requêtes par adresse IP sur le site web ou encore l’apparition d’un Captcha dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un « robot ».
Au vu de leurs responsabilités respectives, la formation restreinte (formation de sanction) de la CNIL a donc sanctionné le responsable du traitement d’une amende de 150 000 euros et son sous-traitant d’une amende de 75 000 euros. A cette occasion, elle a rappelé que certes, le responsable du traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant mais qu’il appartient également au sous-traitant de rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles et les proposer au responsable du traitement.
Remarques :
Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles, formatrice Lefebvre Dalloz
Découvrez notre formation afin de gérer les contrôles CNIL