LA DÉCLARATION DU VOL DE DONNÉES PERSONNELLES À LA CNIL ET SES CONSÉQUENCES
Conformément aux dispositions légales, l'application « ARIANE » a fait l'objet d'une déclaration à la CNIL lors de sa mise en oeuvre .
1. L'inscription des données de tiers et leur conservation : une information insuffisante
La notice explicative de l'application 13 ( * ) indique que « le service Ariane conçu en concertation avec la CNIL offre toutes les garanties de sécurité et de confidentialité des données personnelles » et que « les données sont effacées un mois après la date retour ».
Cette durée de conservation semble ne concerner que les données relatives aux déplacements, non les données de base du dossier, dont les données relatives aux contacts puisque plus de 500 000 noms étaient stockés dans cette table.
Le ministère de l'Europe et des affaires étrangères a précisé le 24 janvier 2019 14 ( * ) que ces données faisaient l'objet d'une destruction automatique au bout de trois années d'inactivité du compte.
Cela pose au demeurant la question du statut des données personnelles des contacts enregistrées par leurs proches avec ou sans leur consentement, présumé tacite. Le Règlement (européen) général sur la protection des données (RGPD), récemment entré en vigueur dans son article 14 précise les informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée 15 ( * ) .
Si cet enregistrement de données personnelles par un tiers a pu être admis initialement par la CNIL, il n'en a pas moins suscité des interrogations des personnes concernées lorsqu'elles ont reçu le courriel du ministère les informant du vol de leurs données personnelles. Un système de génération automatique d'un courriel indiquant à la personne concernée qu'elle vient d'être inscrite dans la base « ARIANE » comme personne à prévenir en cas d'urgence par M. X. aurait permis de l'éviter.
2. L'application des obligations du RGPD en cas de perte de données
Depuis l'entrée en application du Règlement général sur la protection des données (RGPD), la compromission de données personnelles doit faire l'objet d'une déclaration à la CNIL dans les 72 heures de sa détection 16 ( * ) .
Le MEAE s'est conformé à cette obligation puisque la déclaration a été faite via un formulaire en ligne dès le 7 décembre.
La question s'est alors posée pour le ministère de savoir si cette attaque présentait des risques tels, qu'outre son signalement à la CNIL, il devait faire l'objet d'une communication aux personnes concernées d'une part, au public d'autre part 17 ( * ) . Du dialogue entre les deux parties, la DSI et la CNIL, et parce qu'il y avait un risque d'utilisation des données pour des opérations d'hameçonnage ou d'escroquerie 18 ( * ) , qui, le cas échéant, auraient pu engager la responsabilité du ministère, la décision a été prise de communiquer.
Cet échange illustre bien la difficulté à peser le poids des différents arguments et l'intérêt en termes de réputation 19 ( * ) , de protection, de sécurité, de risque juridique, d'atteinte à la sécurité nationale. D'où l'intérêt à capitaliser les retours d'expérience afin d'améliorer les prises de décision futures.
D'après les informations communiquées à vos rapporteurs, ce dialogue est resté confiné dans un premier temps, entre la DSI et le FSSI côté ministère, et la CNIL. L'atteinte à la réputation du ministère par l'affichage la vulnérabilité de l`une de ses applications et le fait que les personnes concernées pouvaient découvrir leur présence dans cette base à l'occasion de cette communication n'a probablement pas été pleinement pris en compte lors de la préparation de ces décisions. Ceci aurait permis, le cas échéant, d'orienter différemment la communication.
Il faut dire que le non-respect de ces nouvelles obligations pouvait entraîner des sanctions pénales.
Il existait pourtant des marges d'appréciation qui n'ont pas été complètement exploitées. Le RGPD prévoit en effet dans son article 23 des possibilités de dérogation permettant de s'exonérer de cette information en cas de risque pour la défense et le sécurité nationale 20 ( * ) .
Faute sans doute d'une gestion de la crise à un niveau plus approprié élargissant les parties prenantes à la décision (interministériel par exemple), l'analyse est restée principalement fondée sur les risques juridiques et techniques.
Le Centre de coordination des crises cyber est pourtant l'instance appropriée pour la coordination interministérielle 21 ( * ) . Le cas de la cyberattaque contre « ARIANE » a fait l'objet d'un signalement et d`échanges au sein du C4 sans toutefois être un sujet d'intérêt majeur pour l'ensemble des parties prenantes à cette enceinte. Il est probable que la question n'a été abordée que du point de vue technique.
Vos rapporteurs ne considèrent pas que l'information et la communication, en le cas d'espèce, ne se justifient pas ; les arguments en faveur de la décision prise sont parfaitement recevables. Ils regrettent simplement que les différents risques et impacts qu'entraînait une communication large n'aient pas été évalués et que le nombre de parties prenantes à la préparation de la décision n'ait pas été élargi ce qui aurait sans doute permis cette évaluation plus complète.
|
Recommandations : Au ministère de l'Europe et des affaires étrangères Mettre en place un système alertant la personne concernée qu'elle vient d'être inscrite dans la base « ARIANE » comme personne à prévenir en cas d'urgence. Se doter des moyens d'effectuer une analyse complète de l'impact potentiel de la mise en oeuvre de l'obligation d'information lorsque celle-ci peut présenter un risque potentiel pour la défense nationale, la sécurité nationale ou la sécurité publique. A la CNIL Veiller à la prise en compte de tous les éléments d'appréciation dans son analyse des obligations d'information et de communication dans le respect du RGPD. Au Premier ministre Formuler des recommandations aux administrations de l'Etat sur les éléments à prendre en considération pour la mise en oeuvre des obligations de déclaration et d'information du RGPD. Prévoir notamment une information immédiate des services du Premier ministre et se doter d'une capacité de coordination de la réponse à apporter lorsque la mise en oeuvre de l'obligation d'information peut présenter un risque potentiel pour la défense nationale, la sécurité nationale ou la sécurité publique. Prendre en considération le risque afférent à cette obligation d'information lorsque l'incident est évoqué en C4. |
* 13 Site France Diplomatie https://www.diplomatie.gouv.fr/fr/le-ministere-et-son-reseau/actualites-du-ministere/article/vous-partez-en-voyage-inscrivez-vous-sur-ariane voir le document en Annexe
* 14 Dans une modification de la réponse à la FAQ (foires aux questions) mise en ligne à l'appui du communiqué de presse rendant public la cyberattaque le 13 décembre 2019
* 15 Article 14 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article14
* 16 Article 33 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33
* 17 Article 34 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
* 18 par exemple en demandant l'envoi d'argent en invoquant la détresse d'un parent séjournant à l'étranger
* 19 Qui pouvait être évalué à charge comme à décharge : la reconnaissance par le ministère lui-même de sa vulnérabilité pouvant être le but recherché par l'assaillant pour porter préjudice à la réputation du ministère. A l'inverse, ne pas communiquer présenter le risque de révéler qu'une administration de l'Etat qui plus est en charge de la politique européenne était la première à enfreindre le RGPD.
* 20 Article 23 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article23
* 21 Le C4 est l'enceinte privilégiée de partage de l'information entre les services de l'Etat chargés d'une mission de cybersécurité. Ainsi les détails opérationnels font l'objet d'échanges fréquents, et ce dans les diverses formations du C4, en tant que de besoin et en fonction de l'expertise de chaque membre. Voir également la Revue stratégique de cyberdéfense p. 54
http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf