Posted by Délibération de la formation restreinte n°SAN-2021-008 du 14 juin concernant la société BRICO PRIVE
La société BRICO PRIVÉ, qui édite le site de ventes privés bricoprive.com dédié au bricolage, au jardinage et à l’aménagement de la maison exerce son activité en France, en Espagne, en Italie et au Portugal. Entre 2018-2021, la CNIL a effectué des contrôles et a constaté plusieurs manquements au RGPD et au code des postes et des communications électroniques (CPCE) et la loi Informatique et Libertés (LIL). La Cnil a relevé des manquements relatifs à la prospection commerciale par voie électronique et aux cookies.
La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a coopéré, avec les autorités de contrôle des trois pays dans lesquels la société BRICO PRIVÉ propose ses services pour les manquements au RGPD. Elle a prononcé une amende de 500 000 euros et a décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
Sur l’obligation d’assurer la sécurité des données à caractère personnel
La formation restreinte considère que l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement pas plus qu’une violation de données ne suffit à caractériser en soi un manquement à l’article 32 du RGPD. Il appartient à la formation restreinte de vérifier que le responsable de traitement ou, le cas échéant, le sous-traitant, a mis en œuvre, en application de cet article, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données. Le caractère approprié des mesures s’apprécie en vérifiant que le mis en cause a proportionné ces mesures, en l’état des informations dont il pouvait disposer par des diligences raisonnables, à la gravité et à la probabilité des risques prévisibles, en fonction de la nature et du contexte du traitement de données, ainsi que du coût et de la complexité des mesures possibles.
La formation restreinte relève à cet égard que la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information.
La formation restreinte rappelle que pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, la CNIL recommande, dans sa délibération n° 2017-012 du 19 janvier 2017, que le mot de passe comporte au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou alors comporte au moins huit caractères – contenant trois de ces quatre catégories de caractères- s’il est accompagné d’une mesure complémentaire comme, par exemple, la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (comme un captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses. Enfin, la formation restreinte rappelle que le fait de stocker les mots de passe d’accès aux bases de données en clair dans un fichier texte contenu dans un ordinateur de la société n’est pas une solution de gestion sécurisée des mots de passe. En effet, une authentification reposant sur l’utilisation d’un mot de passe court ou simple peut conduire à des attaques par des tiers non autorisés, telles que des attaques par force brute qui consistent à tester successivement et de façon systématique de nombreux mots de passe et permettre, ainsi, une compromission des comptes associés et des données qu’ils contiennent.
La fonction de hachage utilisée pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com était obsolète (MD5). La formation restreinte rappelle que le recours à la fonction de hachage MD5 par la société n’est plus considérée depuis2004 comme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite. Ainsi, l’utilisation de cet algorithme permettrait à une personne ayant connaissance du mot de passe haché de déchiffrer celui-ci sans difficulté en un temps très court (par exemple, au moyen de sites internet librement accessibles qui permettent de retrouver la valeur correspondante au hash du mot de passe). Dans ces conditions, eu égard aux risques encourus par les personnes rappelés ci-dessus, la formation restreinte considère que le système de hachage utilisé ne permettait pas de garantir la sécurité des données, au sens de l’article 32du RGPD. Elle relève néanmoins que, dans le cadre de la procédure de sanction, la société a justifié avoir mis en oeuvre un système de hachage satisfaisant, en SHA256, de l’ensemble des mots de passe des utilisateurs.
La formation restreinte rappelle que l’attribution d’un identifiant unique par utilisateur et l’interdiction des comptes partagés figurent parmi les précautions indispensables afin de garantir une traçabilité effective des accès à une base de données. L’utilisation d’un compte générique ne permet pas de garantir la sécurité des données, au sens de l’article 32 du RGPD.
