1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d'u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonceur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), soit remplie.

3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'autres sites Internet.

4) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

Les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l'existence ou non d'une obligation d'information en vertu de l'article 14 de ce règlement, sont de nature et de portée différentes par rapport à la obligation d’information prévue à cet article 14. Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l'article 14, paragraphe 5, sous c), de ce règlement, l'objet des vérifications à effectuer par l'autorité de contrôle est circonscrit par le champ d'application du seul article 14 dudit règlement, le respect de l’article 32 de celui‑ci ne faisant pas partie de ces vérifications.

Il résulte du 1° du I de l'article R. 40‑29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40‑28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114‑1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire. Dès lors que l'article L. 5332‑8 du code des transports prévoit la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des articles R. 40‑23, R. 40‑28 et du 1° du I de l'article R. 40‑29 du CPP, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle‑même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.

L'absence de contrôle régulier par un responsable du traitement d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web a pour conséquence directe la vulnérabilité du système informatique, à l'origine de la violation des données de près de 200 000 clients européens. Le manque de robustesse de la politique de mots de passe de la société, eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, accroît l'exposition du système à un risque d'attaque informatique. Ces faits sont de nature à caractériser un manquement aux dispositions de l’article 32 du RGPD.

Dans le cadre d'élections des représentants du personnel au sein des instances de représentation du personnel de la fonction publique hospitalière, si le vote électronique par internet est susceptible de constituer une modalité de vote au même titre que le vote à l'urne et le vote par correspondance, il implique, en raison de ses spécificités et des conditions de son utilisation, que des garanties adaptées soient prévues pour que le respect des principes généraux du droit électoral – complète information de l'électeur, libre choix de celui-ci, égalité entre les candidats, secret du vote, sincérité du scrutin et contrôle du juge – soit assuré à un niveau équivalent à celui des autres modalités de vote. Dès lors, d'une part, que l'identification du demandeur qui sollicite la mise en œuvre d'une procédure de « réassort » (nouvelles communications des éléments d'authentification nécessaires pour participer au scrutin) s'effectue par la seule vérification de son nom, prénom, date et lieu de naissance, informations qui peuvent aisément être connues de tiers, et, d'autre part, que le moyen de communication par lequel sont envoyés l'identifiant et le nouveau mot de passe est celui indiqué par le demandeur qui sollicite ce « réassort », sans qu'il soit garanti qu’il ne serait accessible qu'à l'électeur, et alors même qu'un même numéro de téléphone ou une même adresse électronique ne peut être utilisé que pour une seule demande de « réassort », les requérants sont fondés à soutenir que les modalités retenues pour le vote électronique par internet n'offraient pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote. Compte tenu de l'importance du recours au vote électronique dans les scrutins en cause et de l'impossibilité de déterminer le nombre de cas dans lesquels a été mise en œuvre, pour chacune des instances concernées, la procédure dite de « réassort », les syndicats requérants sont fondés à demander l'annulation de l'ensemble des opérations électorales en vue de la désignation des représentants du personnel.

Saisi d'un projet de décret relatif à la création d'un traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques, le Conseil d'État (section de l'intérieur) estime nécessaire que le décret précise que la transmission des données personnelles collectées dans des stations d'enrôlement installées dans les locaux des compagnies aériennes par connexion internet sécurisée à l'Imprimerie nationale obéisse aux règles du référentiel général de sécurité (RGS) mentionné au décret n° 2010-112 du 2 février 2010 et que les personnels spécifiquement désignés pour la collecte soient titulaires d'un certificats d'authentification répondant aux normes du RGS. Le projet de décret est modifié en ce sens.

Dans un contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte et que la machine qu'elle utilise bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s'ajoutent à celles qui doivent exister lorsqu'une personne est déjà authentifiée sur le réseau, telles que des mécanismes d'authentification robustes lors de l'accès à des outils. Dans ce contexte, sont susceptibles de constituer des manquements à l'article 32 du RGPD:

1) La connexion au VPN d'une entité par des postes qui n'appartiennent pas à son parc informatique dès lors que cette entité ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

2) La simple collecte des données de journalisation. Le dispositif de journalisation n'est en effet efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d'être en mesure, le cas échéant, de détecter rapidement un comportement suspect.

1) a) Politique d'habilitation pour les dossiers des patients informatisés (DPI) dans un hôpital. Est admissible un paramétrage du DPI prévoyant qu'un médecin peut consulter tout le dossier de ses patients, sans limite d'antériorité, à l'exception de séjours qui peuvent être paramétrés au sein du DPI en accès restreints, car présentant une sensibilité particulière pour la vie privée, ainsi que certains évènements futurs programmés à accès restreints. Un tel paramétrage répond à l'exigence de définir des droits en fonction du métier exercé au sein de la structure hospitalière en application de l'article L.1110-12 du Code de la santé publique et satisfait à l'exigence de protection de la confidentialité des données par une politique d'habilitation appropriée résultant de l' article 32 du RGPD.

b) N'est pas admissible, en revanche, le paramétrage qui prévoit que les médecins peuvent consulter les dossiers de tous les patients présents dans le DPI alors même qu'ils ne feraient pas partie de leur équipe de soins. Un tel paramétrage est contraire aux articles L.1110-4 et L.1110-12 du code de la santé publique, qui exigent que les habilitations tiennent compte de la notion d'équipe de soins.

2) a) Eu égard au volume et à la sensibilité des données traitées au sein du DPI, des contrôles réguliers de ces accès doivent être opérés, afin d'identifier ceux susceptibles d'être frauduleux ou illégitimes (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace » lorsqu'il est mis en place). Il est fortement recommandé d'exercer ces contrôles par le biais d'une analyse automatisée ou semi-automatisée, permettant de garantir la sécurité et la confidentialité des données à caractère personnel traitées.

b) L'absence de contrôle régulier des journaux d'accès au DPI, alors qu'il contient des données sensibles qui concernent un nombre important de personnes, constitue un manquement à l'article 32 du RGPD.

1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l'accès à un système d'information contenant des données à caractère personnel qui n'ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l'utilisateur se connecte par un identifiant et un facteur d'authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l'imputabilité d'une action et compliquent le travail d'investigation en cas d'incident de sécurité ou de violation de données.

Par ailleurs, s'agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d'information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu'un compte est partagé entre plusieurs personnes, cette règle n'est plus respectée.

2) Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d'attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisée par l'un d'entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, des mesures complémentaires doivent être mises en œuvre pour assurer l'imputabilité des actions (ex.: bastion, main courante…) et assurer la protection du secret.

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement à l'article 32 du RGPD.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la Politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif de Dossiers Patients Informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;

• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110-12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise » ; cela permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

En application de l’article 32 du RGPD, il appartient au responsable de traitement d’assurer la sécurité des traitements de données à caractère personnel qu’il effectue. À ce titre, le responsable de traitement doit veiller à la confidentialité des données qu’il traite en prenant des mesures raisonnables pour éviter leur divulgation ou communication à des tiers qui n’ont pas à en connaître. En particulier, s’agissant de l’envoi d’un courriel à un ensemble de destinataires, le responsable de traitement doit s’interroger sur le point de savoir si chaque personne à qui le courriel est adressé peut ou non avoir connaissance de l’ensemble des destinataires. Pour porter cette appréciation, qui doit être faite en fonction des circonstances de l’envoi – notamment l’objet du courriel ainsi que le nombre et la qualité des destinataires –, il y a lieu de tenir compte du fait que la communication en « copie carbone » (Cc) entraînera aussi la divulgation à des tiers de l’adresse électronique de chacun des destinataires. Lorsqu’il apparaît que le nom ou l’adresse électronique des destinataires ne doivent pas être visibles par tous, l’expéditeur du message est tenu d’utiliser la fonction « copie carbone invisible » (Cci). Dans certains cas, il peut être approprié de mettre un destinataire en Cci tout en indiquant dans le corps du courriel à quelles personnes il a été envoyé, s’il est pertinent que les destinataires aient cette information.

1) La CNIL considère que le numéro d’identification des personnes au répertoire national d’identification des personnes physiques (NIR, ou « numéro de sécurité sociale ») peut constituer un moyen d’identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance, etc.) ; le contexte de violations massives de données comprenant ce numéro en 2024, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position. 2) En l’espèce, projet d’utilisation du NIR pour vérifier l’adresse postale dont dispose l’administration. Bien que le ministère ait précisé que l’usager devra également valider un test captcha afin de limiter l’accès à la plateforme par des systèmes automatisés d’aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à un tiers disposant du NIR d’une personne. Or la CNIL rappelle que l’adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée. La CNIL a donc recommandé la modification du projet.

Le recours à la fonction SHA‑1 pour le hachage des mots de passe n’est plus considéré comme conforme à l’état de l’art, ainsi qu’il ressort en particulier du guide de sélection d’algorithmes cryptographiques édité par l’ANSSI, daté du 8 mars 2021, qui indique que celle‑ci est « proscrite pour une utilisation générale ». En l’état actuel de la technique, la CNIL a établi des recommandations spécifiques dans son guide au profit des développeurs, en recommandant de stocker les mots de passe sous forme de hachage (hash) au moyen d’une bibliothèque éprouvée, comme Argon2, yescrypt, scrypt, balloon, bcrypt et, dans une moindre mesure, PBKDF2. En conséquence, l’utilisation en l’espèce d’une fonction obsolète pour procéder au hachage des mots de passe est en principe constitutive d’un manquement aux obligations de l’article 32 du RGPD.

Tout logiciel doit en principe être utilisé dans une version permettant encore de recevoir et d'intégrer les correctifs de sécurité, fournis par un éditeur compétent. L'utilisation d'une version d'un logiciel qui n'est plus suivie par les éditeurs compétents ne peut constituer qu'une situation temporaire, en attendant une adaptation des systèmes internes du responsable de traitement à une montée de version du logiciel ou un transfert vers un autre logiciel. L'admissibilité de l'utilisation temporaire d'une version non suivie d'un logiciel dépend de la sensibilité des données traitées et des risques encourus par les personnes.

1) Il résulte des dispositions de l'article 32 du RGPD que le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s'apprécie, d'une part, au regard des caractéristiques du traitement et des risques qu'il induit ; d'autre part, en tenant compte de l'état des connaissances et du coût des mesures. La mise en place d'une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD.

2) La Commission recommande que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l'authentification repose, comme en l'espèce, sur un identifiant et un mot de passe sans mise en place d'une mesure de sécurité complémentaire, le mot de passe comporte au minimum douze caractères et contienne au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. À défaut, la Commission recommande qu'un mot de passe comporte au moins huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), à condition qu'il s'accompagne d'une mesure de sécurité complémentaire afin d'assurer un niveau de sécurité et de confidentialité suffisant.

Le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisant. Le caractère suffisant des mesures de sécurité s'apprécie d'une part, au regard des caractéristiques du traitement et des risques qu'il induit, d'autre part, en tenant compte de l'état de connaissances et du coût des mesures. La mise en place d’une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD. Ainsi, il est nécessaire de veiller à ce qu'un mot de passe permettant de s'authentifier sur un système ne puisse pas être divulgué. Le recours à la fonction de hachage MD5 pour stocker des mots de passe n'est plus considéré comme à l'état de l'art depuis 2004. Son utilisation en cryptographie ou en sécurité est susceptible de constituer un manquement aux obligations de l'article 32 du RGPD.

Dans le cadre d’un décret précis concernant les modalités et les conditions de recevabilité de la saisine d’une institution par voie de pétition, ainsi que définissant les règles relatives à l’accès aux informations collectées, la mise en place d'un journalisation permettant de conserver une trace des opérations de consultation, création et modification des données est indispensable, conformément à la délibération de la CNIL n° 2021‑122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journaux.

Lorsqu'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.

La transmission, en clair, d'un mot de passe qui n'est ni temporaire, ni à usage unique et dont le renouvellement n'est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur de la personne concernée. Le fait que le mot de passe soit en lui‑même robuste et que les personnes soient incitées à modifier leur mot de passe ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d'identité et des tentatives d'hameçonnage. Ces faits sont susceptibles de caractériser un manquement aux obligations de sécurité résultant de l'article 32 du RGPD.

En application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître.

1) La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion.

2) En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions.