{"id":8853,"date":"2021-02-02T13:01:49","date_gmt":"2021-02-02T12:01:49","guid":{"rendered":"https:\/\/www.agilit.law\/?p=8853"},"modified":"2021-10-27T00:17:15","modified_gmt":"2021-10-26T22:17:15","slug":"condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite","status":"publish","type":"post","link":"https:\/\/www.agilit.law\/en\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/","title":{"rendered":"Credential stuffing : condamnations par la Cnil d’un responsable de traitement et de son sous-traitant pour manquement \u00e0 l’obligation de s\u00e9curit\u00e9 des donn\u00e9es !"},"content":{"rendered":"

Dans un communiqu\u00e9 du 12 janvier dernier, la CNIL pr\u00e9cisait sous forme de fiche pratique<\/a> les risques et enjeux des attaques de sites internet par “bourrage d’identifiants” ou “credential stuffing”<\/strong>, pr\u00e9sent\u00e9es comme “LA violation de donn\u00e9es \u00e0 caract\u00e8re personnel du trimestre”, et rappelait les mesures \u00e0 prendre pour se prot\u00e9ger contre de telles attaques.<\/p>\n

 <\/p>\n

C’est dans ce contexte que la formation restreinte de la Cnil vient de sanctionner<\/a> un responsable de traitement et son sous-traitant pour ne pas avoir pris des mesures de s\u00e9curit\u00e9 satisfaisantes<\/strong> dans le cadre d’attaques informatiques de ce type, en violation de l\u2019article 32 du RGPD.<\/p>\n

 <\/p>\n

Dans cette affaire, \u00e0 la suite de plusieurs dizaines de notifications de violation de donn\u00e9es \u00e0 caract\u00e8re personnel<\/strong> r\u00e9ceptionn\u00e9es entre juin 2018 et janvier 2020 au sujet d’un site internet de vente en ligne, la Cnil avait d\u00e9cid\u00e9 de mener un contr\u00f4le aupr\u00e8s du responsable de traitement, \u00e9diteur du site internet, et de son sous-traitant, en charge de la gestion du site en question.<\/p>\n

 <\/p>\n

Dans le cadre de ce contr\u00f4le, la Cnil a pu constater que le site avait fait objet de nombreuses vagues d\u2019attaques de type credential stuffing<\/em> <\/strong>(ou bourrage d\u2019identifiants). Les sanctions prononc\u00e9es s’\u00e9l\u00e8vent respectivement \u00e0 150 000 \u20ac \u00e0 l’encontre du responsable de traitement et \u00e0 75 000 \u20ac \u00e0 l’encontre de son sous-traitant.<\/p>\n

 <\/p>\n

 <\/p>\n

LE CREDENTIAL STUFFING, QU’EST CE QUE C’EST ?<\/strong><\/h2>\n

Cette cat\u00e9gorie d\u2019attaques informatiques consiste \u00e0 r\u00e9aliser des tentatives d\u2019authentification massives<\/strong> sur des sites et services web \u00e0 partir de couples “identifiant\/mot de passe”, la plupart du temps par le biais de robots.<\/p>\n

Le credential stuffing<\/em> est le plus souvent l’\u0153uvre d’une personne malveillante qui r\u00e9cup\u00e8re des listes de couples “identifiant\/mot de passe” publi\u00e9es en clair sur Internet \u00e0 la suite d\u2019une violation de donn\u00e9es et est g\u00e9n\u00e9ralement permis par le fait que l\u2019identifiant d\u2019un utilisateur correspond fr\u00e9quemment \u00e0 son adresse \u00e9lectronique et que les utilisateurs se servent souvent des m\u00eames couples “identifiant\/mot de passe” sur plusieurs sites<\/strong>.<\/p>\n

Des centaines de millions de tels couples se retrouvent en effet disponibles notamment sur le dark web suite \u00e0 des violations de donn\u00e9es et peuvent \u00eatre r\u00e9utilis\u00e9s pour des tentatives d\u2019authentification.<\/p>\n

 <\/p>\n

 <\/p>\n

L\u2019INSUFFISANCE DES MESURES DE SECURITE\u00a0<\/strong><\/h2>\n

Dans l’affaire port\u00e9e devant la formation restreinte de la Cnil, il est apparu que le responsable de traitement, \u00e9diteur du site internet concern\u00e9, avait -suite \u00e0 de telles attaques- pris la d\u00e9cision de d\u00e9velopper un outil permettant de d\u00e9tecter et de bloquer les attaques lanc\u00e9es \u00e0 partie de robots, mais que le d\u00e9veloppement de cet outil avait pris un an \u00e0 compter des premi\u00e8res attaques.<\/p>\n

 <\/p>\n

Par ailleurs, la Cnil dans son communiqu\u00e9 susvis\u00e9 pr\u00e9cise que la mise en place de mesures permettant de lutter efficacement contre ces attaques r\u00e9p\u00e9t\u00e9es a \u00e9t\u00e9 trop tardive <\/strong>et que :<\/p>\n

– d’autres mesures auraient pu (et d\u00fb !) \u00eatre mises en \u0153uvre durant cette p\u00e9riode afin d\u2019emp\u00eacher de nouvelles attaques ou d\u2019en limiter les cons\u00e9quences<\/strong>, par exemple la limitation du nombre de requ\u00eates autoris\u00e9es par adresse IP sur le site web ou encore l’impl\u00e9mentation d\u2019un “captcha” sur la page d’authentification des utilisateurs d\u00e8s la premi\u00e8re tentative de connexion;<\/p>\n

– le manque de diligence<\/strong> du responsable de traitement et de son sous-traitant a ainsi entrain\u00e9 la divulgation des donn\u00e9es d\u2019environ 40 000 clients du site web entre mars 2018 et f\u00e9vrier 2019.<\/p>\n

 <\/p>\n

La formation restreinte de la Cnil a donc consid\u00e9r\u00e9 que les deux soci\u00e9t\u00e9s avaient manqu\u00e9 \u00e0 leur obligation de pr\u00e9server la s\u00e9curit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel des clients, pr\u00e9vue par l\u2019article 32 du RGPD, et a d\u00e9cid\u00e9 de condamner les deux soci\u00e9t\u00e9s pr\u00e9cit\u00e9es.<\/p>\n

 <\/p>\n

 <\/p>\n

LA DOUBLE SANCTION PRONONCEE<\/strong><\/h2>\n

Il r\u00e9sulte de ce qui pr\u00e9c\u00e8de que la formation restreinte de la Cnil a pris la d\u00e9cision de sanctionner le responsable de traitement et<\/span> son sous-traitant<\/strong>, ce qui n’est pas si fr\u00e9quent et a le m\u00e9rite de permettre de rappeler que :<\/p>\n

– s’il appartient au responsable de traitement de d\u00e9cider de la mise en place de mesures<\/strong> de s\u00e9curit\u00e9 et donner des instructions document\u00e9es \u00e0 son sous-traitant en ce sens ;<\/p>\n

– le sous-traitant doit \u00e9galement rechercher de son c\u00f4t\u00e9 les solutions techniques et organisationnelles les plus appropri\u00e9es<\/strong> pour assurer la s\u00e9curit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel et les proposer au responsable de traitement.<\/p>\n

 <\/p>\n

La Cnil conclut en pr\u00e9cisant que “La formation restreinte n\u2019a pas d\u00e9cid\u00e9 de rendre publiques ces d\u00e9lib\u00e9rations. N\u00e9anmoins, elle souhaite communiquer sur ces d\u00e9cisions pour alerter les professionnels sur la n\u00e9cessit\u00e9 de renforcer leur vigilance concernant les attaques par\u00a0credential stuffing, et de d\u00e9velopper, en lien avec leur sous-traitant, des mesures suffisantes pour garantir la protection des donn\u00e9es personnelles<\/em>“.<\/p>\n

 <\/p>\n

*\u00a0 \u00a0 \u00a0 \u00a0 \u00a0*<\/p>\n

*<\/p>\n

 <\/p>\n

Le P\u00f4le \u00ab IT & data protection \u00bb d\u2019AGIL\u2019IT se tient \u00e0 votre disposition pour vous accompagner en vue d\u2019une mise et\/ou d\u2019un maintien en conformit\u00e9 de vos pratiques au regard de la r\u00e8glementation applicable en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/em><\/p>\n

 <\/p>\n

Par\u00a0AGIL\u2019IT<\/a>\u00a0\u2013 P\u00f4le\u00a0IT<\/a>,\u00a0Data protection<\/a>\u00a0&\u00a0T\u00e9l\u00e9coms<\/a><\/p>\n

Laure LANDES-GRONOWSKI<\/a>, Avocate associ\u00e9e<\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Dans un communiqu\u00e9 du 12 janvier dernier, la CNIL pr\u00e9cisait sous forme de fiche pratique les risques et enjeux des attaques de sites internet par “bourrage d’identifiants” ou “credential stuffing”, pr\u00e9sent\u00e9es comme “LA violation de donn\u00e9es \u00e0 caract\u00e8re personnel du trimestre”, et rappelait les mesures \u00e0 prendre pour se prot\u00e9ger contre de telles attaques.  …<\/p>\n","protected":false},"author":4,"featured_media":6236,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[147,73],"tags":[],"coauthors":[94],"yoast_head":"\nCredential stuffing : condamnations par la Cnil d'un responsable de traitement et de son sous-traitant pour manquement \u00e0 l'obligation de s\u00e9curit\u00e9 des donn\u00e9es ! - AGIL'IT<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Credential stuffing : condamnations par la Cnil d'un responsable de traitement et de son sous-traitant pour manquement \u00e0 l'obligation de s\u00e9curit\u00e9 des donn\u00e9es ! - AGIL'IT\" \/>\n<meta property=\"og:description\" content=\"Dans un communiqu\u00e9 du 12 janvier dernier, la CNIL pr\u00e9cisait sous forme de fiche pratique les risques et enjeux des attaques de sites internet par “bourrage d’identifiants” ou “credential stuffing”, pr\u00e9sent\u00e9es comme “LA violation de donn\u00e9es \u00e0 caract\u00e8re personnel du trimestre”, et rappelait les mesures \u00e0 prendre pour se prot\u00e9ger contre de telles attaques.  …\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/\" \/>\n<meta property=\"og:site_name\" content=\"AGIL'IT\" \/>\n<meta property=\"article:published_time\" content=\"2021-02-02T12:01:49+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-10-26T22:17:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.agilit.law\/wp-content\/uploads\/2020\/03\/shutterstock_766923355.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1500\" \/>\n\t<meta property=\"og:image:height\" content=\"813\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Laure Landes-Gronowski\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Laure Landes-Gronowski\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/\",\"url\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/\",\"name\":\"Credential stuffing : condamnations par la Cnil d'un responsable de traitement et de son sous-traitant pour manquement \u00e0 l'obligation de s\u00e9curit\u00e9 des donn\u00e9es ! - AGIL'IT\",\"isPartOf\":{\"@id\":\"https:\/\/www.agilit.law\/#website\"},\"datePublished\":\"2021-02-02T12:01:49+00:00\",\"dateModified\":\"2021-10-26T22:17:15+00:00\",\"author\":{\"@id\":\"https:\/\/www.agilit.law\/#\/schema\/person\/906193fbe5e020fa826cf7bed5f0119b\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.agilit.law\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Credential stuffing : condamnations par la Cnil d’un responsable de traitement et de son sous-traitant pour manquement \u00e0 l’obligation de s\u00e9curit\u00e9 des donn\u00e9es !\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.agilit.law\/#website\",\"url\":\"https:\/\/www.agilit.law\/\",\"name\":\"AGIL'IT\",\"description\":\"Make things simple\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.agilit.law\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.agilit.law\/#\/schema\/person\/906193fbe5e020fa826cf7bed5f0119b\",\"name\":\"Laure Landes-Gronowski\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.agilit.law\/#\/schema\/person\/image\/28fdc5034409b7339d9cfb1c7e67a42c\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/13eb25dedfd6848dcbcfda1a74be2ff1?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/13eb25dedfd6848dcbcfda1a74be2ff1?s=96&d=mm&r=g\",\"caption\":\"Laure Landes-Gronowski\"},\"url\":\"https:\/\/www.agilit.law\/en\/author\/laure\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Credential stuffing : condamnations par la Cnil d'un responsable de traitement et de son sous-traitant pour manquement \u00e0 l'obligation de s\u00e9curit\u00e9 des donn\u00e9es ! - AGIL'IT","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/","og_locale":"en_US","og_type":"article","og_title":"Credential stuffing : condamnations par la Cnil d'un responsable de traitement et de son sous-traitant pour manquement \u00e0 l'obligation de s\u00e9curit\u00e9 des donn\u00e9es ! - AGIL'IT","og_description":"Dans un communiqu\u00e9 du 12 janvier dernier, la CNIL pr\u00e9cisait sous forme de fiche pratique les risques et enjeux des attaques de sites internet par “bourrage d’identifiants” ou “credential stuffing”, pr\u00e9sent\u00e9es comme “LA violation de donn\u00e9es \u00e0 caract\u00e8re personnel du trimestre”, et rappelait les mesures \u00e0 prendre pour se prot\u00e9ger contre de telles attaques.  …","og_url":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/","og_site_name":"AGIL'IT","article_published_time":"2021-02-02T12:01:49+00:00","article_modified_time":"2021-10-26T22:17:15+00:00","og_image":[{"width":1500,"height":813,"url":"https:\/\/www.agilit.law\/wp-content\/uploads\/2020\/03\/shutterstock_766923355.jpg","type":"image\/jpeg"}],"author":"Laure Landes-Gronowski","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Laure Landes-Gronowski","Est. reading time":"4 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/","url":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/","name":"Credential stuffing : condamnations par la Cnil d'un responsable de traitement et de son sous-traitant pour manquement \u00e0 l'obligation de s\u00e9curit\u00e9 des donn\u00e9es ! - AGIL'IT","isPartOf":{"@id":"https:\/\/www.agilit.law\/#website"},"datePublished":"2021-02-02T12:01:49+00:00","dateModified":"2021-10-26T22:17:15+00:00","author":{"@id":"https:\/\/www.agilit.law\/#\/schema\/person\/906193fbe5e020fa826cf7bed5f0119b"},"breadcrumb":{"@id":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/condamnations-responsable-traitement-sous-traitant-manquement-obligation-securite\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.agilit.law\/en\/"},{"@type":"ListItem","position":2,"name":"Credential stuffing : condamnations par la Cnil d’un responsable de traitement et de son sous-traitant pour manquement \u00e0 l’obligation de s\u00e9curit\u00e9 des donn\u00e9es !"}]},{"@type":"WebSite","@id":"https:\/\/www.agilit.law\/#website","url":"https:\/\/www.agilit.law\/","name":"AGIL'IT","description":"Make things simple","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.agilit.law\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.agilit.law\/#\/schema\/person\/906193fbe5e020fa826cf7bed5f0119b","name":"Laure Landes-Gronowski","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.agilit.law\/#\/schema\/person\/image\/28fdc5034409b7339d9cfb1c7e67a42c","url":"https:\/\/secure.gravatar.com\/avatar\/13eb25dedfd6848dcbcfda1a74be2ff1?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/13eb25dedfd6848dcbcfda1a74be2ff1?s=96&d=mm&r=g","caption":"Laure Landes-Gronowski"},"url":"https:\/\/www.agilit.law\/en\/author\/laure\/"}]}},"_links":{"self":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts\/8853"}],"collection":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/comments?post=8853"}],"version-history":[{"count":19,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts\/8853\/revisions"}],"predecessor-version":[{"id":8987,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts\/8853\/revisions\/8987"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/media\/6236"}],"wp:attachment":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/media?parent=8853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/categories?post=8853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/tags?post=8853"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/coauthors?post=8853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}