Article – Données non sécurisées : la CNIL ouvre le feu sans sommation

Mardi 4 février 2020

Pierre CRAPONNE

Article de Maître Pierre CRAPONNE, Avocat of Counsel

Face à un défaut de sécurité, la CNIL préfère sanctionner plutôt que d’inviter à une régularisation qu’elle estime impossible.

La CNIL laisse ainsi entendre que le secteur de l’assurance, fort consommateur de données, est particulièrement exposé à des sanctions lourdes en cas de faille de sécurité.

L’assurance est un secteur très consommateur de données particulièrement sensibles (personnelles, bancaires, judiciaires, de santé …).

Malgré son importance pratique, la version actualisée du « Pack Assurance », resté en l’état depuis juillet 2014[1], se fait d’ailleurs toujours attendre, sans que la CNIL en fasse une priorité.

Deux ans après l’entrée en vigueur du RGPD le 25 mai 2018, l’analyse de l’ensemble des décisions rendues par la CNIL révèle déjà le réel fer de lance du régulateur : la sécurité des données.

On savait la CNIL déterminée à appliquer le RGPD à marche forcée mais, s’agissant de sécurité, elle est intraitable face aux manquements en sanctionnant vite et fort les contrevenants.

Allant jusqu’à poursuivre sans mise en demeure, la CNIL est particulièrement vigilante au monde de l’assurance traitant de grandes quantités de données.

L’absence de mise en demeure n’exclut pas la sanction

Les chiffres annuels de la CNIL mettent en évidence sa démarche pédagogique : inciter à la mise en conformité.

En 2018, la CNIL recensait 11.077 plaintes, 310 contrôles, 48 mises en demeure et seulement 9 sanctions pécuniaires. Pour 2019, la Présidente de la CNIL fait état de 14.000 plaintes pour une dizaine de sanctions[2].

La volonté première de la CNIL ne serait donc pas de punir.

Pourtant, avec 51.100.000 €, elle est en tête des montants d’amendes infligées en Europe (114.000.000 € au total) depuis l’entrée en vigueur du RGPD[3].

En effet, les 4 décisions de sanctions rendues au visa du RGPD en 2019 sont sévères : GOOGLE LLC 50.000.000€, SERGIC 400.000€, ACTIVE ASSURANCES 180.000€ et FUTURA INTERNATIONALE 500.000€.

Notons également que sur ces décisions, deux étaient prononcées sans mise en demeure préalable et portaient sur … un défaut de sécurité des données !

Dans l’affaire SERGIC, la CNIL recevait une plainte le 12 août 2018, réalisait un contrôle sur place le 13 septembre 2018, désignait un rapporteur le 1er février 2019 et clôturait l’instruction le 5 février 2019 pour rendre sa décision de sanction le 28 mai 2019 (Délibération n°SAN-2019-005).

Le schéma est identique dans l’affaire ACTIVE ASSURANCES : information de la CNIL le 1er juin 2018, mission de contrôle le 28 juin 2018, désignation du rapporteur le 8 mars 2019, clôture de l’instruction le 5 avril 2019 et décision de sanction le 18 juillet 2019 (Délibération n°SAN-2019-007).

En l’espace d’un an, la CNIL peut donc recueillir la plainte, enquêter, instruire le dossier et délivrer sa sanction … sans mise en demeure préalable.

Cette pratique de « sanction-éclair » a été validée par le Conseil d’Etat dans le 17 avril 2019 : « la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés »[4].

On notera que cette affaire antérieure au RGPD concernait déjà un défaut de sécurité des données.

Faille de sécurité : l’assurance particulièrement exposée à des sanctions rapides et lourdes

Marie-Laure DENIS l’exprime clairement : la (cyber)sécurité et la protection des données sont des sujets fondamentaux pour la CNIL[5].

L’article 32 du RGPD prévoit à ce titre que :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […], le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] »

Pourtant, depuis l’entrée en vigueur du RGPD, sur plus de 50 mises en demeures, seules quatre alertaient publiquement sur un niveau de sécurité des données insuffisant alors qu’au total ce sont 15 sanctions pécuniaires publiques sur 21 en deux ans qui traitent de la question.

Autrement dit, face à un défaut de sécurité, la CNIL préfère sanctionner plutôt que d’inviter à une régularisation qu’elle estime impossible.

En l’occurrence, la CNIL a fixé ces amendes à 1% du chiffre d’affaires pour SERGIC et 1,7% pour ACTIVE ASSURANCES (pour un plafond de 4% du CA mondial), ce qui reste élevé à moins de deux ans de l’entrée en vigueur du RGPD.

Premier constat : si la CNIL a relevé la réaction rapide d’ACTIVE ASSURANCES et sa coopération durant la procédure, la sanction est proportionnellement plus importante que celle de SERGIC.

La CNIL considère-t-elle qu’avec le temps les violations du RGPD seront moins « excusables » et donc plus sévèrement punies ?

Tout porte à le croire.

Second constat, plus alarmant : la CNIL justifie la sanction d’ACTIVE ASSURANCES par la « gravité du manquement […] caractérisée en raison de la nature des données personnelles concernées » et « du nombre de documents et de personnes concernées par le défaut de sécurité ».

La CNIL laisse ainsi entendre que le secteur de l’assurance est particulièrement exposé à des sanctions lourdes en cas de faille de sécurité.

Si la démarche de la CNIL est cohérente au vu du RGPD, elle fait peser envers les distributeurs d’assurance un risque réel et important poussant à une mise en conformité et en sécurité urgente.

Pour affiner cette appréhension de la démarche de la CNIL, on suivra de près les suites données à l’affaire Accor qui n’a pour l’heure fait l’objet que d’une notification à la CNIL le 16 novembre 2019 en raison d’une faille dans la protection des données personnelles de nombreux clients.

Pour une vision européenne, les suites des affaires British Airways et Mariott devant l’ICO seront également instructives, le régulateur britannique ayant proposé des sanctions « record » à hauteur de respectivement 203.000.000 € et 110.000.000 €.

En conclusion, décision après décision, la CNIL dresse un ensemble des règles de sécurité qui s’imposent à tout opérateur manipulant des données, dont les distributeurs d’assurance, si friands de données.

Son message a au moins le mérite de la simplicité : si la régularisation est impossible, la sanction sera rapide et forte, spécialement dans le domaine de l’assurance.


[1] Pack Assurance Complet (cnil.fr)

[2] Interview BFMTV de Marie-Laure DENIS, Présidente de la CNIL, le 15/01/2020

[3] Bilan du RGPD sur les amendes des régulateurs en Europe (developpez.com)

[4] Conseil d’État, 10ème – 9ème chambres réunies, 17/04/2019, 422575

[5] Voir interview : note 2 supra