L’autorité italienne de protection des données (GPDP) a sanctionné l’aéroport de Bologne, le 10 juin 2021, pour ne pas avoir assuré la confidentialité des certaines données à caractère personnel conformément aux exigences du RGPD.

L’aéroport avait conçu en 2010 et implémenté en 2015, comme la loi nationale l’imposait, une application destinée aux lanceurs d’alertes, qui permettait au personnel de l’aéroport qui aurait pris connaissance d’une menace, comme un comportement anormal ou illégal, d’informer sa hiérarchie, de façon « anonyme » ou nominative.

Deux possibilités étaient offertes aux employés souhaitant envoyer une alerte : envoyer un e-mail à une adresse spécifique ou se connecter à un site Web à l’adresse : « http://whistleblowing.bologna-airport.it ».

La Commission italienne a rappelé à la société que la confidentialité des données à caractère personnel devait être assurée[1] et que des « mesures techniques et organisationnelles appropriées »[2] devaient être prises, surtout si les données traitées étaient sensibles, comme peut l’être l’identité du lanceur d’alerte.

Dans ce cas, la Commission a estimé que l’absence de chiffrement des données dans l’application, aussi bien « en transit[3] » qu’« au repos »[4] ne permettait pas d’assurer une sécurité appropriée et a considéré que le très faible volume[5] de données généré par l’application n’était pas une raison valable pour ne pas sécuriser correctement les données.

Par ailleurs, la Commission reproche aussi à l’aéroport :

  • l’absence d’analayse d’impact[6], qui aurait probablement mis en évidence le nécessité de chiffrer les données ;
  • l’absence d’exception dans le pare-feu de l’entreprise, qui aurait permis d’éviter que des traces sur l’identité des auteurs des alertes soient conservées[7], surtout si ces alertes sont envoyées « anonymement » ;
  • l’absence de considération pour la protection des données lors de la conception de l’application[8] ;

Une sanction de 40 000 € a été prononcée à l’aéroport, soit 0,06 % de son chiffre d’affaires[9].

Lire :

Note : suite au passage de la Commission, l’aéroport a déployé le protocole HTTPS sous 10 jours et a indiqué étudier la mise en place d’un chiffrement sur le serveur où se trouve l’application.

Notes et références

  1. Le RGPD indique que les données à caractère personnel doivent être traitées « de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, […], à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) » (source : RGPD, article 5-1-f).
  2. Le RGPD demande de mettre en place des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
  3. Le chiffrement des données « en transit » correspond à un chiffrement appliqué lorsque les données transitent entre l’utilisateur et les serveurs de l’application. Le protocole TLS est habituellement utilisé pour chiffrer les données sur le Web. Il correspond au S de HTTPS. Ce chiffrement permet de s’assurer que les données ne soient pas interceptées par un tiers non autorisé. Voir « Quels sont les risques à visiter un site non sécurisé par HTTPS ? » et « Faut-il utiliser HTTPS lorsqu’on traite des données à caractère personnel ? ».
  4. Le chiffrement des données « au repos » correspond à un chiffrement appliqué lorsque les données sont stockées en mémoire d’une machine, dans une base de données par exemple.
  5. Lors des investigations, seules trois alertes étaient présentes dans l’application pour les années 2015 à 2019. Sur les trois, deux ont été envoyées « anonymement ».
  6. Le RGPD demande qu’une analyse d’impact soit réalisée lorsque le traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (source : RGPD, article 35). Les données « particulièrement sensibles » traitées par l’application de lanceurs et « les risques élevés, en termes de représailles et de discriminations » sur les auteurs justifient qu’une telle analyse d’impact soient réalisée. Voir « Faut-il réaliser une analyse d’impact avant de traiter des données personnelles ? ».
  7. Le pare-feu de l’entreprise était configuré pour conserver une trace de toutes les pages visitées par les employés pendant une durée de 90 jours. Si un employé de l’aéroport envoyait une alerte « anonyme », il aurait donc été possible de consulter ces traces pour identifier l’auteur.
  8. Le RGPD demande que les problématiques de protection des données, notamment les impacts sur les libertés et les droits des personnes, soient étudiées et prises en compte au plus tôt, dès la conception du système (source : RGPD, article 25).
  9. L’aéroport a déclaré un chiffre d’affaires, en 2019, de 125,1 millions d’euros pour un résultat net de 20,9 millions d’euros et, en 2020, de 67,5 millions d’euros pour résultat net négatif de (13,6) millions (source : Aéroport de Bologne). L’amende de 40 000 euros représente 0,03 % du CA de 2019 et 0,06 % du CA du 2020.

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données