CNIL & Protection des données : les erreurs courantes en matière de RGPD

16 Jan 2020
RGPD - Protection des données personnelles - Erreurs courantes - CNIL & cybersécurité

RGPD – Protection des données personnelles – Erreurs courantes – CNIL & cybersécurité

 

Suite à l’entrée en vigueur du Règlement pour la Protection des Données, sa mise en application par les sociétés et son contrôle par la CNIL, cette dernière a choisi de publier un récapitulatif des erreurs les plus fréquentes rencontrées au sein des sociétés pouvant constituer des manquements au sens du RGPD.  

A titre préliminaire, certains lieux communs liés à l’application du RGPD méritent d’être dénoncés, notamment l’inutilité d’un DPO, la rareté des contrôles RGPD et l’existence d’un délai pour se mettre en conformité (historiquement acceptable mais plus d’actualité en 2021), une déresponsabilisation possible par des clauses contractuelles d’exonération ou la simple nomination d’un DPO ou encore une mise en conformité à un instant donné permettant d’obtenir un blanc-seing ad vitam.

Protection des données et RGPD : les enjeux de la cybersécurité

De nombreuses sociétés sont aujourd’hui sanctionnées ou exposées à des sanctions au regard des conditions dans lesquelles les données personnelles sont conservées.

Les nouvelles règles en matière de protection des données imposent une responsabilisation des collecteurs et exploitants de données personnelles dont de mauvaises procédures de sécurité peuvent conduire à une divulgation ou perte de documents comprenant des données personnelles.

Quand bien même les professionnels n’auraient pas les compétences techniques pour apprécier la fiabilité de leurs solutions, il leur incombe malgré tout le devoir de s’en être assuré.

Les mots de passe trop faibles et les systèmes sans double vérification

Rappelé fréquemment par les professionnels, les mots de passe trop faible, largement tolérés par les plateformes en ligne sans complément d’identification – par confirmation via mail, téléphone ou autre facilitent les capacités d’un hacker de pénétrer un système en testant de nombreux mots de passe usuels.

L’interview d’Edward Snowden par John Oliver dans l’émission Last Week Tonight illustrait la facilité déconcertante aujourd’hui avec laquelle des personnes peuvent pirater et hacker des serveurs dont les mots de passes de sécurité sont trop courts ou faibles, encourageant sur ce point à utiliser non plus des mots mais des « phrases de passe ».

Retrouvez ici l’ensemble de l’interview.

La faiblesse des URL en matière d’accès à des comptes clients

De très nombreuses sociétés ont ainsi été sanctionnée sur la base de la capacité, en changeant un élément d’URL, d’accéder à l’ensemble de la base de données du service. Une telle défaillance est analysée par la CNIL comme un manquement à l’article 32 du RGPD en ce qui concerne l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel.

Retrouvez ci-dessous nos analyses des sanctions associées :

Active Assurance en 2019

Alliance française en 2018

Darty début 2018

L’absence de chiffrement des données

Le chiffrement – cryptage – correspond à la conversion des données d’un format lisible à un format codé qui peut uniquement être lu ou traité après déchiffrement. En cas de perte ou de faille au sein d’un système informatique, un tel mécanisme permet de garantir la confidentialité des informations interceptées. Cela constitue à ce titre un moyen efficace de garantir également leur authenticité et origine.

Plusieurs méthodes ont été développées ces dernières décennies – cryptographie asymétrique, clé de chiffrement symétrique, etc. – afin de perfectionner la confidentialité et la protection des systèmes informatiques, notamment les connexions https, les vpn, accès SSH, etc.

Fréquemment rappelées par la CNIL lors de ses contrôles, de nombreuses failles et négligences facilement évitables, sont souvent à l’origine des manquements aux règles en matière de protection des données.