Par une délibération du 24 juillet 2018, la Commission nationale de l’informatique et des libertés (la « CNIL ») a condamné la société Dailymotion pour manquement à son obligation de sécurité et de confidentialité des données à caractère personnel. Elle prononce à son encontre une amende de 50.000 euros.

Au cours de l’année 2016, suite à l’exploitation d’une faille de sécurité de la plateforme Dailymotion, la CNIL a dirigé une mission de contrôle afin d’estimer les éventuels manquements commis par la société qui ont conduit à l’exploitation de cette faille, ainsi que les conséquences de celle-ci sur les personnes concernées.

Les manquements constatés à l’obligation de sécurité

L’exploitation de la faille a conduit à l’extraction de 82,5 millions d’adresses de comptes et à 18,3 millions de mots de passe. Cette violation, dont la valeur de revente sur Internet est évaluée à 11 euros par Dailymotion (sic) fut dans un premier temps attribuée à « une requête SQL de type SELECT », réalisée sur « les tables user (utilisateurs) et user_passwords (mots de passe des utilisateurs) ». Selon Dailymotion, l’absence de détection immédiate et d’alerte était imputable au faible volume des données téléchargées par comparaison avec les capacités de la bande passante, empêchant d’y voir une quelconque anomalie.

Suite à des investigations complémentaires de la part de la CNIL, il ressort que l’exploitation de la faille est la conséquence de plusieurs éléments :

  • Un accès au code source de la société qui contient un mot de passe d’identification au système ;

  • L’identification d’un bug exploitable à des fins malveillantes au sein du code de la plateforme Dailymotion ;

  • L’identification des conditions nécessaires pour l’exploitation du bug ;

  • Le développement d’un code d’exploitation spécifique pour exploiter le bug ;

  • Le détournement d’un compte d’administration pour l’exploitation du bug ;

  • L’accès masqué aux données en prenant appui sur des serveurs loués à cette fin.

L’exploitation de la faille est donc le résultat d’une « attaque [qui] peut être qualifiée de sophistiquée » et dont l’origine peut être tracée jusqu’aux États-Unis.

Si l’origine et le caractère sophistiqué de l’attaque sont admis, encore faut-il s’interroger sur la responsabilité de Dailymotion dans l’exploitation de cette faille.

Selon Dailymotion, l’obligation de sécurité de l’article 34 de la loi Informatique et libertés dans sa version en vigueur au moment des faits, n’est qu’une obligation de moyens. La violation de la sécurité et de la confidentialité des données personnelles ne peut lui être reprochée. Elle serait d’ailleurs elle-même victime de cette extraction frauduleuse. Elle rejette et conteste donc l’analyse du rapporteur de la CNIL qui, selon elle « revient à rendre imputable à un responsable de traitement n’importe quelle violation de données à caractère personnel ».

La CNIL observe que d’après l’article 34 précité, si les moyens de la sécurité sont laissés à la discrétion du responsable de traitement, seul le résultat est pris en compte. Sans pour autant prendre position sur la qualification de l’obligation de sécurité en obligation de résultat ou en obligation de moyens, la CNIL déclare que le responsable de traitement doit sécuriser les données à caractères personnel qu’il traite.

La CNIL constate alors deux manquements de Dailymotion à son obligation de sécurité. Le premier manquement est caractérisé par l’absence de mise en place de mesures afin d’éviter la divulgation du mot de passe ayant servi à l’exploitation de la faille. Alors que selon la société, l’inclusion du mot de passe dans le code source de la plateforme « est conforme à l’état de l’art », la CNIL indique au contraire qu’un mot de passe ne doit pas être divulgué. Il convenait de mettre en place un système de stockage du mot de passe sur un serveur interne, à charge « d’injecter [le mot de passe] en temps réel dans le code source » lorsque cela était nécessaire. Le mot de passe aurait dû être stocké dans un fichier protégé.

Le second manquement est l’absence de mesure de sécurité lors de la conception de la plateforme afin de limiter les « accès externes à l’administration du système d’information », alors qu’il s’agit d’une « précautions élémentaires ». La CNIL propose par exemple un filtrage des adresse IP ou encore l’utilisation d’un VPN.

C’est au regard de ces manquements que la CNIL déclare que, « [l’attaque] n’aurait pas pu aboutir si au moins l’une des deux mesures (…) avait été prise par [Dailymotion] ». Bien que les éléments ne soient pas directement repris lors de l’énoncé de la sanction, le fait que « la politique de mots de passe complexe [n’ait pas été mis en place] pour des raisons marketing », ou encore l’absence de durée de conservation participent probablement du manquement constaté par la CNIL.

L’adoption du RGPD ne devrait pas bouleverser l’analyse de la CNIL sur ce point. Le RGPD confirme et affirme l’interprétation de l’affaire donnée par le rapporteur et contestée par Dailymotion : le responsable de traitement est responsable de toutes les violations de données à caractère personnel. En effet, la philosophie du RGPD et l’évolution de droit européen d’un système statique de déclaration et de demandes d’autorisations vers un système dynamique d’auto-certification militent pour un renforcement de la responsabilité des responsables de traitement et sous-traitants, et notamment de leurs obligations en matière de sécurité. L’article 25 du RGPD relatif à la « protection des données dès la conception et protection des données par défaut », va d’ailleurs en ce sens. L’article 32 du RGPD relatif à la « sécurité du traitement » va également dans ce même sens puisqu’il impose au responsable de traitement et au sous-traitant de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

La CNIL ne manque pas de souligner que telle est d’ailleurs son intention puisqu’elle justifie la publication de la décision par le « contexte actuel dans lequel se multiplient les incidents ». Puisque les pirates ne peuvent être appréhendés, il appartient aux responsables de traitements et aux sous-traitants de s’assurer que leurs systèmes informatiques sont sécurisés. Sans cela la protection des personnes concernées serait réduite à peau de chagrin. L’aléa dans la survenance d’une attaque n’exonère donc pas de sécuriser efficacement les bases de données, ni de mettre en place des moyens de sécurisation à jour, sous peine d’adopter un caractère négligent et d’être sanctionné.

La détermination du montant de la sanction

La CNIL rappelle l’article 45 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et libertés », et notamment qu’une sanction peut être prononcée lorsque « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ». L’exploitation de la faille de sécurité ayant déjà été réalisée et Dailymotion ayant déjà mis en place de nouvelles mesures de sécurité,  la CNIL sanctionne sans mise en demeure préalable.

Elle prononce une sanction « proportionnée » à la violation de la loi par référence aux critères de l’article 47 et notamment à la gravité du manquement, aux avantages tirés du manquement, au caractère intentionnel ou non du manquement, et aux mesures adoptées pour atténuer le dommage causé.

La sanction pécuniaire du manquement à l’obligation de sécurité  dans un premier temps évaluée à 500.000 euros, est été abaissée à 100.000 euros suite aux précisions fournies par Dailymotion sur l’origine professionnelle, ciblée et sophistiquée de l’attaque.

Puis cette sanction a été de nouveau réduite pour atteindre le montant de 50.000 euros. Pour déterminer ce montant, la CNIL relève tout d’abord que seules deux catégories de données à caractère personnel sont concernées par la violation : les adresses électroniques et les mots de passe. Le risque d’atteinte à la vie privée des personnes concernées est donc limité. Elle note ensuite la bonne foi de Dailymotion qui a « fait preuve de coopération » avec ses services au cours de l’enquête. Toutefois, la CNIL insiste sur la négligence de la société dans la mise en œuvre des mesures de sécurité et sur le volume des données extraites illégalement. Elle ne reprend pas les arguments avancés par Dailymotion sur l’adoption rapide de mesures pour corriger la faille, l’absence d’un avantage pour la société ou encore le fait que parmi de nombreuses données extraites ne sont pas des données personnelles puisque liées à des comptes test ou des noms de personnes morales.

Sur ce point, l’adoption du RGPD apporte des modifications substantielles. Outre la fixation du montant de la sanction pécuniaire qui peut atteindre 4 % du chiffre d’affaire mondial (si ce taux avait été applicable en 20016, le chiffre d’affaires de Dailymotion pour l’année 2016 ayant été de  58.809.200 euros, l’amende maximale prononcée par à son encontre aurait été d’un montant de 2.352.368 euros), ce sont surtout les critères utilisés pour déterminer le montant de la sanction qui évoluent. En plus des critères évoqués ci-dessus, l’article 83 du RGPD stipule que devront être pris en compte l’existence de mesures antérieures prises à l’encontre du responsable de traitement ou du sous-traitant, l’application d’un code de conduite ou encore « toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce ». Les responsables de traitement et les sous-traitants doivent plus que jamais redoubler d’effort en matière de sécurité des données qu’ils sont amenés à traiter.