CNIL, 3 juin 2004, n° 04-051

Saisie, le 13 janvier 2004, d'une plainte par un particulier qui a pu accéder, les 13 et 14 novembre 2003, via le service [...], proposé par X, après identification par ses mot de passe et code d'accès personnels, au compte bancaire d'une tierce personne ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère à personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret n° 78-774 du 17 juillet 1978 modifié ;

Vu les articles 226-16 à 226-22 du code pénal ;

Vu la délibération de la Commission nationale de l'informatique et des libertés n° 87-25 du 10 février 1987 fixant le règlement intérieur de la CNIL, et notamment son article 54 ;

Après avoir entendu Monsieur Philippe NOGRIX, commissaire, en son rapport, et Madame Charlotte Marie PITRAT, commissaire du Gouvernement, en ses observations ;

FORMULE LES OBSERVATIONS SUIVANTES

L'instruction de la plainte dont a été saisie la CNIL a permis d'établir qu'au moins un client de X a accédé, alors qu'il se connectait sur internet à son compte détenu dans cette banque, au compte d'une tierce personne.

La CNIL a rappelé à cet établissement bancaire, par courrier du 3 février 2004 que ces faits sont susceptibles d'être qualifiés pénalement et d'engager la responsabilité de X sur le fondement de l'article 226-17 du code pénal qui punit de cinq ans d'emprisonnement et de 300.000 euros d'amende "le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées, ou communiquées à des tiers non autorisés".

X a indiqué en réponse que cette situation résultait d'un dysfonctionnement informatique intervenu lors de la "bascule" de son système d'informations, le 11 novembre 2003. Lors de cet événement, les données personnelles relatives à 256.900 contrats de banque à distance ont été enregistrées dans le nouveau système.

Elle ajoute que, dès réception de la télécopie du plaignant, le 14 novembre 2003, lui exposant les faits, ses services ont bloqué l'ensemble des accès internet au système, à titre conservatoire, pour permettre à ses informaticiens d'identifier le dysfonctionnement.

Une "erreur de programmation pouvant générer des dysfonctionnements sur 62 clients sur les 256.900 précités" a alors été décelée. Par précaution, X a maintenu le blocage pour ces 62 comptes, et a rétabli l'accès aux autres comptes dès le 15 novembre 2003.

Par courrier du 5 mai 2004, la Commission a toutefois indiqué à X qu'il apparaissait en l'espèce que cet établissement n'avait pas pris toutes les précautions utiles pour assurer la sécurité des informations concernant les comptes de ses clients qui accèdent à leur compte bancaire via internet, et lui a demandé de lui faire part de ses observations complémentaires.

X s'est bornée à indiquer en réponse, par télécopie du 2 juin 2004, qu'elle ferait parvenir à la Commission la justification des tests réalisés "préalablement à la bascule informatique".

La Commission rappelle que, conformément à l'article 29 de la loi du 6 janvier 1978, le responsable du traitement "s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés".

Tel est tout particulièrement le cas pour les établissements financiers, dans la mesure où ils sont soumis au respect du secret bancaire.

La Commission estime dès lors que X n'a pas pris toutes les précautions utiles pour assurer la sécurité et la confidentialité des informations concernant ses clients ayant souscrit un contrat d'accès à distance à leur compte bancaire.

En conséquence,

DEMANDE à X d'informer la Commission non seulement sur les tests réalisés préalablement à la "bascule" de son système d'informations, mais également sur la nature exacte de l'erreur de programmation ayant entraîné ces dysfonctionnements ;

DECIDE de faire application des dispositions de l'article 21.4° de la loi du 6 janvier 1978 et d'adresser un AVERTISSEMENT à X, dont le siège social est situé [...].

DECIDE que le présent avertissement sera porté à la connaissance de la Commission bancaire.