NextINpact

Link to full Interview

Depuis 2014, la Commission nationale de l’informatique et des libertés (CNIL) est autorisée à effectuer des contrôles en ligne, ce qui est particulièrement utile lorsque certains sites laissent fuiter les données personnelles de leurs utilisateurs. Afin de nous faire découvrir ce nouveau pouvoir plus en détails, l’institution a bien voulu ouvrir ses portes à Next INpact.

Caméras de vidéosurveillance un peu trop curieuses, déréférencement de données nominatives dans les moteurs de recherche, respect des règles relatives aux cookies et autres traceurs, non-radiation des fichiers publicitaires… Les milliers de plaintes déposées chaque année auprès de la CNIL conduisent les contrôleurs de l’autorité administrative indépendante à effectuer des investigations pour le moins variées. Jusqu’à l’année dernière, ceux-ci pouvaient choisir d’effectuer :

  • Des contrôles sur place, dans les locaux d’une entreprise par exemple.
  • Des contrôles sur pièces, en réclamant du responsable d’un traitement qu’il communique certains documents (moyens informatiques utilisés, etc.).
  • Des contrôles sur audition, bien souvent synonymes d’une convocation à Paris, au siège de la CNIL.

Des contrôles en ligne autorisés uniquement depuis 2014

Suite à l’entrée en vigueur de la loi sur la consommation du 17 mars 2014, les contrôleurs de la CNIL ont désormais une nouvelle corde à leur arc : ils peuvent effectuer des constatations en ligne, à partir de toutes les informations « librement accessibles » sur Internet. Le législateur a également habilité l’autorité administrative indépendante à se pencher sur les données « rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers » – notamment suite à un piratage informatique.

« Ce nouveau pouvoir de constatation en ligne s’ajoute aux autres moyens de contrôle existants et offre à la CNIL l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. Jusqu’à présent, on était dans une situation assez paradoxale : ce qu’un internaute lambda pouvait constater en allant sur un site, nous ne pouvions pas le faire ! » raconte aujourd’hui Isabelle Falque-Pierrotin, la présidente de la CNIL, lorsqu’on lui parle de cette nouvelle attribution.

De fait, les investigations menées sur la Toile par la gardienne des données personnelles sont loin d’être aussi impressionnantes que ce à quoi certains pourraient s’attendre… Pourquoi ? Parce que celles-ci sont menées à l’aide d’un simple ordinateur portable !

L’appareil, relié à un second écran pour faciliter le travail des agents, est équipé de Virtual Box – un logiciel libre qui permet de charger une machine virtuelle (fonctionnant en l’occurrence sous Linux) identique pour chaque contrôle. « Il est très important que nous ayons un environnement propre, sain, de la même manière qu’un chirurgien va utiliser des outils stériles pour son opération. Il faut qu’on soit surs de ne pas avoir de reliquat d’un autre contrôle par exemple » explique Benjamin Vialle, auditeur des systèmes d’information à la CNIL.

Un ordinateur portable de base suffit

Cette machine virtuelle permet en somme aux contrôleurs d’effectuer leurs constatations à partir d’un ordinateur totalement neutre. Les outils utilisés pour procéder aux vérifications sont très basiques, et absolument pas propres à la CNIL. Ses agents utilisent en principe le navigateur Firefox, bardé pour l’occasion de quelques extensions que chaque internaute peut télécharger librement :

  • Cookies Manager+, qui affiche les cookies de manière plus détaillée que ne le fait Firefox.
  • Live HTTP Headers, utile pour voir où part chaque requête d’envoi de données. Cet outil permet par exemple de voir si, lors de la validation d’un formulaire d’inscription, les informations renseignées (nom, prénom…) sont transmises dans le même temps vers une régie publicitaire, sans que l’internaute ne le sache. Il sert également à vérifier que ces données soient transférées de façon sécurisée, grâce au protocole HTTPS.
  • Screengrab, pour effectuer des captures d’écran horodatées.
  • De manière plus exceptionnelle, le logiciel Wireshark est utilisé en complément à Live HTTP Headers. Ce programme permet de voir l’ensemble des flux réseaux qui sortent de la machine virtuelle, et non pas uniquement ceux relevant du navigateur. « Ça peut nous servir dans certains cas, quand on cherche à identifier l’adresse IP du serveur auquel on va se connecter » explique Benjamin Vialle, en référence à ces sites basés à l’étranger et ne comportant aucune mention légale. Une fois la machine virtuelle chargée, le contrôle peut démarrer. De manière systématique, deux agents sont mobilisés : un juriste et un informaticien du service des contrôles (lequel comprend au total une dizaine de personnes).

L’écran de l’ordinateur sert à surfer et à réaliser des captures, tandis que le second écran permet de jeter un œil aux cookies stockés sur la machine, aux différents flux de données sortants, etc. Il est également utilisé pour rédiger le procès-verbal conservé par la CNIL, notamment en vue d’une éventuelle procédure de manquement.

Première étape : obtenir un ordre de contrôle

Mais avant de se lancer dans un contrôle, les agents de la CNIL doivent obligatoirement obtenir un ordre écrit d’Isabelle Falque-Pierrotin. « On ne décide pas le matin de faire un contrôle en ligne, sourit Benjamin Vialle. C’est une décision de la présidente, accompagnée d’un ordre de mission du secrétaire général qui désigne précisément les agents habilités à faire ce contrôle. Il y a d’ailleurs les mêmes formalités que pour un contrôle sur place. »

De ce fait, le choix des sites contrôlés ne doit pas grand-chose au hasard. La Commission établit chaque année un programme (voir celui de cette année), et agit aussi en fonction des plaintes qu’elle reçoit. L’institution se garde toutefois une marge de manœuvre pour d’éventuelles « opportunités », liées notamment à l’actualité. « Si l’on voit dans la presse qu’il y a des données qui sont manifestement en accès libre alors qu’elles ne le devraient pas, ce sont autant de raisons pour lesquelles on peut proposer à la présidente que la décision soit prise très vite – ce qui est déjà arrivé – pour qu’on puisse faire le contrôle en ligne au plus vite » explique Florence Fourets, de la Direction de la protection des droits et des sanctions de la CNIL.

En pratique, seuls « quelques contrôles » relèvent actuellement du programme annuel de la Commission. Cette dernière nous a indiqué qu’environ un cinquième des investigations diligentées résultait de plaintes, le reste – soit environ quatre cinquièmes – correspondant à des initiatives propres à l’institution.

Deuxième étape : procéder aux constatations dans un environnement sain

Une fois l’ordre de mission rédigé et la machine virtuelle chargée, les deux contrôleurs peuvent se mettre au travail. « On se connecte au site concerné, puis on va vérifier des points très classiques qu’un utilisateur lambda pourrait également vérifier, détaille Benjamin Vialle. On inspecte les mentions d’informations sur les formulaires, le caractère obligatoire ou facultatif des réponses dans les questionnaires, on s’assure que les données collectées sont pertinentes au regard de la finalité du site et que le traitement est déclaré, on contrôle la sécurité – comme par exemple l’utilisation de certificats https pour l’échange de données à caractère personnel,… » Les constatations mêlent donc des vérifications techniques (des cookies sont-ils stockés ?) et juridiques (la durée de conservation de ces cookies est-elle conforme aux préconisations de la CNIL ?).

Au-delà de la simple consultation de pages Web, les agents créent parfois des comptes, par exemple sur sites de rencontres ou de e-commerce. « On s’interdit d’utiliser des pseudonymes. En revanche, on indique “CNIL” dans les champs nom et prénom. On ne se cache pas » assure-t-on Rue Vivienne.

L’intérêt de se lancer dans de telles démarches ? Inspecter des éléments qui ne sont pas visibles à premier abord, comme le respect des règles relatives aux procédures de désinscription aux newsletters. La CNIL espère aussi obtenir de précieux indices : « Si je clique sur le lien “mot de passe oublié” et qu’on me le renvoie en clair par mail, il y a 99,9 % de chances qu’il soit stocké en clair » affirme Benjamin Vialle, tout en soulignant que seul un nouveau contrôle – sur place ou sur pièces – permettrait d’en avoir le cœur net.

Mais jusqu’où peuvent aller les contrôleurs ? « La loi nous autorise à constater si des données sont librement accessibles ou rendues accessibles, que ce soit par négligence ou par le fait d’un tiers, ce qui interdit toute intrusion. À partir du moment où il y a une barrière de connexion de type login/mot de passe, on ne va pas chercher à aller plus loin » explique Benjamin Vialle. Hors de question par exemple de tester des mots de passe.

Il en va de même si un internaute signale à la CNIL que des codes d’accès sont très facilement devinables (de type « admin » et « password »). « Dès lors qu’il y a une mesure de sécurité, même si elle est faible, on ne va pas la traverser. » En revanche, l’autorité administrative n’hésite pas utiliser les options de certains moteurs de recherche tels que Google ou Qwant pour retrouver des documents qui pourraient avoir fuité.

Troisième étape : rédiger le PV

D’un point de vue administratif, les deux agents rédigent leur procès verbal au fil du contrôle, en y ajoutant toutes les captures d’écran nécessaires. Ce document intègre des preuves de l’ensemble des éléments relevés – captures d’écran, captures de flux http…. Deux annexes y sont ajoutées, la première décrivant l’environnement utilisé pour le contrôle en ligne (caractéristiques du poste de travail et de la connexion Internet, absence de proxy, machine virtuelle sous Linux, etc.), la seconde précisant les vérifications effectuées préalablement à l’opération.

Une copie du PV et de ses annexes est adressée au responsable du site contrôlé, « en principe sous huit à dix jours », accompagnée d’un CD-ROM chiffré dans lequel se trouvent toutes les pièces (et notamment les captures d’écran). Le destinataire doit alors contacter la CNIL – par courrier ou par téléphone – afin d’obtenir le mot de passe nécessaire à la lecture de ces éléments. « On fait un calcul SHA-256 pour chaque pièce. C’est un peu comme un scellé qui permet de s’assurer que le fichier n’est modifié ni par nous ni par l’organisme contrôlé » indique-t-on Rue Vivienne.

C’est aussi à cette étape de la procédure qu’il est bien souvent demandé à l’organisme contrôlé d’apporter des précisions ou des compléments, notamment à propos de la finalité des cookies, du stockage des mots de passe, des durées de conservation, etc.

« À la réception du PV, certains sites anticipent d’une certaine manière, puisqu’à ce stade, rien n’est dit sur les suites qui seront données au contrôle en ligne » explique Florence Fourets. Selon la juriste, les organismes contrôlés auraient ainsi tendance à balayer devant leur porte sans même avoir fait l’objet de la moindre mise en demeure formelle, les captures d’écran et indications du PV aidant à comprendre où se situent les éventuels problèmes…

Les principaux manquements constatés grâce aux contrôles en ligne concernent :

  1. L’absence de recueil du consentement des internautes avant le dépôt de cookies de tracking publicitaire.
  2. Les problèmes de sécurité et de confidentialité des données, de type absence d’utilisation de protocole HTTPS lors d’un transfert de données personnelles ou transmission de données à des tiers sans que l’internaute en soit averti.
  3. L’absence de mentions d’informations devant pourtant figurer en bas des formulaires de collecte.
  4. L’absence de déclaration du fichier auprès de la CNIL.

La durée d’un contrôle est très variable, mais prend en général au moins plusieurs heures. D’après Benjamin Vialle, « le temps incompressible, ce sont les 30 à 45 minutes de préparation pour qu’on soit sur d’être dans un environnement sain. Les constats en eux-mêmes peuvent être très rapides, mais s’il y a beaucoup de problèmes, ça prend plus de temps. »

Et après les contrôles ?

En fonction des manquements constatés, la Commission est libre de formuler une mise en demeure, sorte d’avertissement avant l’engagement d’une procédure formelle de sanction. Ce n’est en effet qu’au cas où l’organisme contrôlé ne rentrerait pas dans le rang qu’un nouveau round de négociations pourrait s’ouvrir, avec cette fois à la clé la possibilité d’une réprimande.

Jusqu’ici, sur les 200 contrôles en ligne effectués par la CNIL, seuls 38 ont donné lieu à une mise en demeure. Aucune de ces procédures n’a pour l’instant conduit un organisme contrôlé à une sanction (amende, avertissement public…).

Une mise en conformité « un peu plus importante » sur les contrôles en ligne

Doit-on en déduire que ces contrôles sont plus efficaces que les autres ? « On a une mise en conformité qui est un peu plus importante sur les contrôles en ligne, sans doute parce qu’on cible des aspects vraiment particuliers, répond Benjamin Vialle. On y gagne en temps mais aussi en réactivité, notamment sur les failles. Mine de rien, avant de déclencher un contrôle sur place, il y a quand même un minimum de logistique… S’il faut aller à Marseille, il faut mobiliser deux agents, avertir le procureur, etc. »

« Pour nous, ajoute Florence Fourets, la nouveauté réelle qu’offre cette faculté consiste à pouvoir figer un état de fait à un moment donné. Par exemple, si l’on apprend à travers les médias qu’il y a une faille permettant d’accéder à des données qui ne devraient pas l’être, on peut, à partir d’un contrôle en ligne, figer cet état de fait en dressant un procès verbal. Ce qui n’empêchera pas d’aller sur place pour faire un contrôle si nécessaire, de vérifier d’autres points en matière de durée de conservation, etc. »

Une procédure qui n’en est qu’à ses premiers pas

Ces premiers retours ne signifient pas pour autant que la CNIL ne rencontre aucune difficulté. « On a encore quelques soucis pour identifier les responsables de certains sites, quand il n’y a pas de mentions légales notamment », reconnaît par exemple Benjamin Vialle. De ce fait, la Commission est parfois amenée à se tourner vers le Procureur de la République, qui a ensuite le pouvoir de diligenter une véritable enquête.

Quant à Florence Fourets, de la Direction de la protection des droits et des sanctions, elle sait qu’un jour, un contrôle en ligne pourrait être contesté devant les tribunaux par une personne sanctionnée. « D’une certaine manière, je ne dirais pas qu’on se rode, mais nécessairement, nos process, qui me semblent plutôt solides, risquent de faire l’objet comme tous les types de contrôles de contentieux devant le Conseil d’ État. On verra ce qu’en dira le juge le jour où il sera saisi. » L’institution se montre toutefois optimiste, dans la mesure où le juge pourrait ainsi être amené à confirmer ses procédures.

Xavier Berne