L’autorité grecque de protection des données personnelles (HDPA) a lourdement sanctionné deux opérateurs mobiles(1) pour violation du RGPD(2).
Une violation de données consécutive à une cyberattaque externe
L’opérateur mobile est une filiale du groupe de télécoms historique grec.
En tant qu’opérateur de communications électroniques, il collecte ou détient de nombreuses informations sur les utilisateurs de ses services. Ces dernières concernent notamment, les informations suivantes :
- numéro de téléphone ;
- coordonnées des stations de base du réseau ;
- les numéros IMEI(3) du terminal et IMSI(4) de la carte Sim ;
- horodatage et durée des appels ;
- plan tarifaire d’abonnement, âge, sexe, revenu moyen (ARPU – Average Revenue Per User) par utilisateur.
Les données enregistrées dans un seul fichier concernent plusieurs millions d’abonnés et d’utilisateurs.
En 2020, l’opérateur signale à la HDPA être victime d’une violation de données à caractère personnel. En cause, un piratage externe du serveur de la société mère hébergeant les données concernées.
Les manquements au RGPD reprochés par la HDPA
L’autorité grecque de protection des données à caractère personnel reproche plusieurs manquements à l’opérateur mobile et au groupe.
Ainsi, elle reproche à l’opérateur :
- d’avoir omis de compléter l’analyse d’impact sur la protection des données prévue par l’article 35 du RGPD ;
- de ne pas avoir respecté le principe de transparence prévu à l’article 5 du RGPD ;
- de ne pas avoir anonymisé les données conformément aux dispositions de l’article 25 du RGPD.
En effet, l’opérateur a stocké ces données pendant trois mois.
L’objectif était d’utiliser ces données pour son système de gestion des défaillances. Cela lui permettait de détecter les défaillances techniques ou les erreurs dans la transmission des communications.
La conservation de ces données résulte d’une obligation légale qui pèse sur les opérateurs de communications électroniques. Ces derniers ont l’obligation légale d’avoir un système de gestion des pannes efficace afin de pouvoir assurer la continuité du service, conformément à leurs obligations contractuelles vis-à-vis de leurs utilisateurs.
Or, la HDPA constate que les données collectées par l’opérateur et stockées par le groupe n’étaient pas supprimées au bout de trois mois ; contrairement aux engagements pris par la société en matière de durée de conservation des données.
En outre, il est apparu que l’opérateur enrichissait ces données en ajoutant celles relatives au plan tarifaire d’abonnement, à l’âge, au sexe et au revenu moyen par utilisateur qui n’étaient pas des données absolument nécessaires pour poursuivre la finalité initiale.
Quant au groupe, il est sanctionné au motif qu’il n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées en vertu de l’article 32 du RGPD.
La HDPA relève une analyse d’impact incomplète
L’autorité grecque reproche à l’opérateur de ne pas pouvoir démontrer la prise en compte de l’ensemble des risques dans son analyse d’impact, et notamment, les risques inhérents à une cyberattaque externe.
L’opérateur n’a donc pas correctement documenté son analyse d’impact sur la protection des données.
Un défaut d’information des personnes concernées
De plus, pour l’autorité grecque, même si l’opérateur informait ses abonnés des traitements mis en œuvre, il ne les informait pas sur la finalité de la gestion des défaillances. Il ne mentionnait qu’une partie des informations dont la communication aux personnes concernées s’imposait.
Ainsi, cette information omettait de mentionner l’effacement sous trois mois des données collectées et conservées par l’opérateur.
En conséquence, la HDPA estime que l’opérateur a violé le principe de transparence prévu à l’article 5 du RGPD, ainsi que les articles 13 et 14 du RGPD relatifs à l’information des personnes.
L’absence d’anonymisation des données
A propos de la question de l’anonymisation des données litigieuses, l’opérateur a précisé qu’elle avait procédé à cette anonymisation, en ne conservant les données que pendant une durée de 12 mois et en ne les utilisant qu’à des fins statistiques pour optimiser la conception de son réseau mobile.
Toutefois, la HDPA a estimé que le mécanisme d’anonymisation décrit par l’opérateur permettait seulement de réaliser une « pseudonymisation » des données. L’opérateur avait toujours accès à la clé personnelle qui permettait de décrypter les données.
Aussi, la HDPA en a conclu qu’il ne s’agissait pas d’un mécanisme réel d’anonymisation(5), mais seulement un mécanisme de pseudonymisation(6) des données au motif que la technique appliquée (le cryptage des données) ne permet pas d’empêcher irréversiblement leur réidentification.
L’encadrement des responsabilités respectives de l’opérateur et de son groupe
Par ailleurs, la HDPA reproche à l’opérateur et son groupe de ne pas avoir fondé leur coopération et la répartition des responsabilités soit sur un accord conclu au titre de l’article 26 du RGPD dans le cas d’une responsabilité conjointe des responsables du traitement, soit sur un contrat conclu au titre de l’article 28 du RGPD dans le cas d’une externalisation du traitement par l’opérateur à son groupe, la première étant responsable du traitement et la seconde étant son sous-traitant.
Ainsi, l’autorité grecque estime que l’opérateur a violé le principe de responsabilité de l’article 5 du RGPD, en liaison avec les articles 26 et 28 du RGPD.
Enfin, la HDPA constate qu’en omettant de documenter contractuellement leur relation, l’opérateur et son groupe n’ont pas précisé la manière dont elles entendaient structurer leur coopération. Cela rendait donc impossible la preuve du respect par elles du principe d’intégrité et de confidentialité (art. 5, RGPD).
La violation du principe de sécurité des données à caractère personnel
L’opérateur stockait un ensemble important de données relatives au trafic. Or, toutes n’étaient pas nécessaires à la gestion des défaillances.
En effet, le traitement et le stockage des données relatives au trafic est autorisé par l’article 6 de la directive 2002/58/CE(7). Cette autorisation ne vaut toutefois que pour quatre motifs :
- l’émission de facture ;
- l’offre de services à valeur ajoutée ;
- aux fins de marketing ;
- la gestion des défaillances.
Si la gestion des défaillances est un motif valable, la directive pose le principe de minimisation des données. La collecte ne doit concerner qu’un nombre limité de données.
Or, la HDPA a estimé que le stockage d’un sous-ensemble limité de données relatives au trafic et non de toutes les données relatives au trafic, aurait suffi à poursuivre l’objectif susmentionné. En conséquence, l’opérateur aurait violé l’article 30 de la directive 2002/58/CE.
Enfin, nonobstant l’absence d’accord contractuel approprié avec l’opérateur, le groupe aurait dû mettre en œuvre des mesures techniques et organisationnelles. La sécurité des données que sa filiale lui confiait aurait ainsi été assurée. Ne l’ayant pas fait, le groupe a donc violé l’article 32 du RGPD.
Frédéric Forster
Lexing Télécom
Valentin Cayré
Notes
- HDPA, 27-01-2022, décision n°4/2022 (en grec) ; communiqué de l’HDPA (en anglais) ; présentation par le CEPD.
- Règl. UE 2016/679 du 27 avril 2016 (RGPD).
- International Mobile Equipment Identity : Numéro permettant à l’opérateur d’identifier le mobile appelant et d’autoriser, ou non, la connexion.
- International Mobile Subscriber Identity : Numéro permettant à l’opérateur du réseau mobile d’identifier de manière unique l’utilisateur du mobile appelant.
- Avis 05/2014 du G29 (WP 216) du 10 avril 2014 sur les techniques d’anonymisation (Texte non retenu par le CEPD mais auquel la Cnil fait régulièrement référence), 2.2.1, p. 7 : « l’anonymisation est une technique appliquée aux données à caractère personnel afin d’empêcher irréversiblement leur identification ».
- L’article 4, 5) du RGPD défini la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
- Dir. 2002/58/CE du 12 juillet 2002 traitement des données personnelles et protection de la vie privée dans le secteur des télécoms.