Le 27 janvier 2021, la CNIL a indiqué avoir sanctionné un responsable de traitement et son sous-traitant (leurs noms n’ont pas été rendus public) d’amendes d’un montant respectif de 150 000€ et de 75 000€ en raison de l’insuffisance des mesures de sécurité du site web qui ne permettait pas de palier aux attaques par bourrage d’identifiants (credential stuffing i.e. attaque par robots à partir de listes d’identifiants et de mots de passe « en clair » publiées sur Internet).
Ce contrôle de la CNIL a eu lieu suite à de nombreuses notifications de violations de données en lien avec ce site web.
La CNIL a jugé que les mesures mises en place par le RT et le ST pour faire face à ce type d’attaque n’étaient pas suffisamment rapides et efficace –développement d’un outil permettant la détection et le blocage des attaques –comparé à d’autres mesures qui auraient pu être prise pour minimiser les attaques sur le court terme (CAPTCHA, limitation du nombre de requête par adresse IP sur le site web…).
Sur la répartition des responsabilités, la CNIL précise que :
– Le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant
– Le sous-traitant doit également rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles et les proposer au responsable de traitement.
On peut en déduire que le RT est en droit d’exiger des conseils adaptés de la part de ses sous-traitants au regard du risque sur la sécurité et la confidentialité des données personnelles traitées.
