Par Anne-Charlotte Andrieux et Théophile Tsimaratos
En 2022 la CNIL continue de s’intéresser de près à la cybersécurité des sites web. Preuve en est, la CNIL a mis en demeure 15 sites web français de mettre en conformité leurs mesures avec les points de sécurité importants, qu’elle détaille dans ses Bonnes Pratiques.
Il s’agit d’une décision inédite, puisque les mises en demeure ont été prononcées alors qu’aucune violation de données n’a été constatée.
La CNIL s’inscrit ici dans une démarche de prévention des risques, et cherche à alerter l’opinion publique et les entreprises sur l’importance que revêt la sécurité des sites internet.
En effet, selon le rapport d’activité publié en début d’année 2022, l’année 2021 a permis à la CNIL de prendre conscience des enjeux liés à la Cybersécurité. Plusieurs facteurs l’y ont poussée :
Les quinze sites internet rappelés à l’ordre ont tous présenté des défauts de sécurité majeurs. Il convient de rappeler qu’en vertu de l’article 32 du RGPD, la sécurisation des données est une obligation du responsable de traitement.
Par référence aux recommandations de l’ANSSI, la CNIL a identifié 2 principaux axes d’amélioration :
Les sites épinglés par la CNIL offraient un accès non sécurisé à leur service et n’appliquaient pas correctement le protocole TLS, qui permet une sécurisation des échanges. Au surplus, les organismes utilisaient des clés de chiffrement obsolètes et insuffisamment robustes.
La CNIL a mis en évidence, auprès des quinze sites litigieux, l’absence de dispositifs techniques qui permettent de tracer les connexions suspectes entre les serveurs dans la gestion des comptes utilisateurs. La Commission constate également un manque de dispositifs techniques visant à valider, proposer et renouveler des combinaisons de mots de passe robustes.
Les sites internet mis en demeure doivent prendre les mesures nécessaires pour se mettre en conformité avec les niveaux de sécurité adaptés, dans un délai de trois mois.
Cette vague de mises en demeure témoigne une fois de plus de liens étroits qui existent entre l’ANSSI et la CNIL.
Au cas présent, la CNIL s’appuie directement sur les recommandations délivrées par l’ANSSI en matière de sécurité informatique.
Pour le secteur public la CNIL affirme s’être référée au référentiel général de sécurité (RGS). Ce référentiel de l’ANSSI impose un cadre contraignant pour la sécurisation des services électroniques mis à disposition par les autorités administratives, afin de renforcer la confiance des usagers.
Dans ce contexte la CNIL affirme également mettre à jour sa recommandation de 2017 relative à la sécurité des mots de passe pour tenir compte des dernières recommandations de l’ANSSI du mois d’octobre 2021.
***
Le département cyber sécurité du Cabinet HAAS Avocats, cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.