L’autorité italienne de protection des données (GPDP[1]) a sanctionné l’aéroport de Bologne, le 10 juin 2021, pour ne pas avoir pris des mesures de sécurité pour assurer la confidentialité des certaines données à caractère personnel, ce qui est contraire au RGPD[2].

L’aéroport avait conçu en 2010 et implémenté en 2015, comme la loi nationale l’imposait, une application destinée aux lanceurs d’alertes, qui permettait au personnel de l’aéroport, qui aurait pris connaissance d’une menace – comme un comportement anormal ou illégal –, d’informer sa hiérarchie, de façon « anonyme » ou nominative.

Les alertes pouvaient être créées en envoyant un e-mail à une adresse spécifique ou en se connectant à une application en ligne à l’adresse : « http://whistleblowing.bologna-airport.it ».

La Commission italienne reproche à la société de ne pas avoir chiffré les données de cette application, aussi bien en transit[3], avec l’utilisation du protocole HTTPS, qu’au repos[4], conformément aux exigences[5] du RGPD.

La Commission reproche aussi :

  • l’absence d’étude d’impact[6], qui aurait probablement mis en évidence le nécessité de chiffrer les données ;
  • l’absence d’exception dans le pare-feu de l’entreprise, pour éviter que les traces de l’identité des auteurs des alertes soient conservées[7], surtout si ces alertes sont envoyées « anonymement » ;
  • l’absence de considération pour la protection des données lors de la conception de l’application[8] ;

La Commission a estimé que le très faible volume[9] de données généré par l’application n’était pas une raison valable pour ne pas sécuriser les données, et considéère que le caractère sensible des données, notamment l’identité du lanceur d’alerte, exigeait une sécurité adaptée.

Une sanction de 40 000 € a été prononcée à l’aéroport, soit 0,06 % de leur chiffre d’affaires[10].

Lire :

Note : suite au passage de la Commission, l’aéroport a déployé le protocole HTTPS sous 10 jours et a indiqué étudier la mise en place d’un chiffrement sur le serveur où se trouve l’application.

Notes et références

  1. GPDP : Garante per la Protezione dei Dati Personali (garanteprivacy.it).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Le chiffrement des données « en transit » correspond à un chiffrement appliqué lorsque les données s’échangent entre l’utilisateur et les serveurs de l’application. Le protocole TLS est habituellement utilisé chiffrer les données sur le Web. Il correspond au S de HTTPS. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  4. Le chiffrement des données « au repos » correspond à un chiffrement appliqué lorsque les données sont stockées en mémoire d’une machine, dans une base de données par exemple.
  5. Le RGPD demande que des mesures soient prises pour garantir la confidentialité des données à caractère personnel (source : RGPD, article 32-1-b). En l’absence de chiffrement, en utilisant le protocole HTTP par exemple, la garantie que les données ne soient pas interceptées par un tiers non autorisé ne peut pas être apportée. Voir « Quels sont les risques à visiter un site non sécurisé par HTTPS ? » et « Faut-il utiliser HTTPS lorsqu’on traite des données à caractère personnel ? ».
  6. Le RGPD demande qu’une analyse d’impact soit réalisée lorsque le traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (source : RGPD, article 35). Les données « particulièrement sensibles » traitées par l’application de lanceurs et « les risques élevés, en termes de représailles et de discriminations » sur les auteurs justifient qu’une telle analyse d’impact soient réalisée.
  7. Le pare-feu de l’entreprise était configuré pour conserver une trace de toutes les pages visitées par les employés pendant une durée de 90 jours. Si un employé de l’aéroport envoyait une alerte « anonyme », il aurait donc été possible de consulter ces traces pour identifier l’auteur.
  8. Le RGPD demande que les problématiques de protection des données, notamment les impacts sur les libertés et les droits des personnes, soient étudiées et prises en compte au plus tôt, dès la conception du système (source : RGPD, article 25).
  9. Lors des investigations, seules trois alertes étaient présentes dans l’application pour les années 2015 à 2019. Sur les trois, deux ont été envoyées « anonymement ».
  10. L’aéroport a déclaré un chiffre d’affaires, en 2019, de 125,1 millions d’euros pour un résultat net de 20,9 millions d’euros et, en 2020, de 67,5 millions d’euros pour résultat net négatif de (13,6) millions (source : bologna-airport.it). L’amende de 40 000 euros représente 0,03 % du CA de 2019 et 0,06 % du CA du 2020.