5 εκατομμύρια ευρώ πρόστιμο στον γαλλικό φορέα απασχόλησης για παραβίαση δεδομένων

Παρέκκλιση από τον κανόνα της αποφυγής επιβολής υψηλών προστίμων σε δημόσιους φορείς για παραβάσεις του ΓΚΠΔ κατέγραψε η γαλλική αρχή προστασίας δεδομένων CNIL με την απόφαση που δημοσιοποίησε χθες, για την παραβίαση δεδομένων που υπέστη το France Travail, ο γαλλικός δημόσιος φορέας απασχόλησης.

Το πρόστιμο που επιβλήθηκε στο France Travail (πρώην Pôle emploi) ανήλθε σε 5 εκατομμύρια ευρώ και αφορά την παράβαση του άρθρου 32 ΓΚΠΔ για την ασφάλεια δεδομένων και την εκτεταμένη παραβίαση δεδομένων που αποκαλύφθηκε το 2024 και αφορούσε δεκάδες εκατομμύρια φυσικά πρόσωπα.

Η απόφαση εκδόθηκε από την CNIL, κατόπιν μακράς διοικητικής διαδικασίας που ξεκίνησε με τη γνωστοποίηση περιστατικού παραβίασης δεδομένων από τον ίδιο τον οργανισμό. Το France Travail αποτελεί εθνικό δημόσιο διοικητικό φορέα, υπαγόμενο στο Υπουργείο Απασχόλησης, με αποστολή την υποστήριξη των ανέργων, καθώς και τη διασύνδεση της προσφοράς και της ζήτησης εργασίας. Στο πλαίσιο των αρμοδιοτήτων του, διαχειρίζεται πληροφοριακό σύστημα που περιλαμβάνει δεδομένα εκατομμυρίων πολιτών, μεταξύ των οποίων και ιδιαίτερα ευαίσθητες πληροφορίες.

Η υπόθεση εντάσσεται στο πλαίσιο της παροχής ενοποιημένων υπηρεσιών υποστήριξης ανέργων με αναπηρία, η οποία οργανώθηκε μέσω συνεργασίας του France Travail με τις δομές CAP EMPLOI. Οι τελευταίες είναι αυτόνομοι οργανισμοί, συνήθως μη κερδοσκοπικοί, οι οποίοι έχουν ως αποστολή την εξειδικευμένη υποστήριξη ατόμων με αναπηρία στην ένταξη και διατήρησή τους στην αγορά εργασίας. Για τον σκοπό αυτό, από το 2022 επιτράπηκε, βάσει ειδικού κανονιστικού πλαισίου, η ενσωμάτωση δεδομένων σχετικών με την κατάσταση αναπηρίας στο πληροφοριακό σύστημα του France Travail και η απομακρυσμένη πρόσβαση των συμβούλων CAPEMPLOI σε αυτό. Το καθεστώς αυτό θεμελιώθηκε ως περίπτωση από κοινού ευθύνης επεξεργασίας, με το France Travail να διατηρεί τον κεντρικό έλεγχο του συστήματος.

Η παραβίαση δεδομένων αποκαλύφθηκε έπειτα από ανίχνευση ασυνήθιστης δραστηριότητας στο πληροφοριακό σύστημα κατά το πρώτο τρίμηνο του 2024. Οι τεχνικές διερευνήσεις έδειξαν ότι άγνωστοι δράστες είχαν αποκτήσει πρόσβαση στο σύστημα μέσω λογαριασμών συμβούλων του CAPEMPLOI, τους οποίους είχαν καταφέρει να οικειοποιηθούν χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής (socialengineering). Οι δράστες εκμεταλλεύτηκαν διαδικασίες επαναφοράς κωδικών πρόσβασης, προσποιούμενοι τόσο τους νόμιμους χρήστες όσο και την τεχνική υποστήριξη, και κατάφεραν να αποκτήσουν ενεργά διαπιστευτήρια χωρίς να παραβιάσουν άμεσα τεχνικά μέτρα ασφαλείας.

Η επίθεση διήρκεσε περίπου έναν μήνα, από τις αρχές Φεβρουαρίου έως τις αρχές Μαρτίου 2024. Κατά το διάστημα αυτό, οι επιτιθέμενοι προχώρησαν σε μαζική εξαγωγή δεδομένων, συνολικού όγκου περίπου 25 gigabyte. Σύμφωνα με τα ευρήματα της έρευνας, τα δεδομένα που υπεκλάπησαν αφορούσαν περισσότερα από 36,8 εκατομμύρια φυσικά πρόσωπα. Σε αυτά περιλαμβάνονταν άτομα εγγεγραμμένα ως άνεργοι κατά την τελευταία εικοσαετία, αλλά και πρόσωπα που διέθεταν απλώς λογαριασμό χρήστη στην ηλεκτρονική πλατφόρμα του οργανισμού.

Τα δεδομένα που εκτέθηκαν περιλάμβαναν στοιχεία ταυτότητας και επικοινωνίας, όπως ονοματεπώνυμο, ημερομηνία γέννησης, φύλο, διευθύνσεις, αριθμούς τηλεφώνου και ηλεκτρονικού ταχυδρομείου, καθώς και τον αριθμό κοινωνικής ασφάλισης (NIR), ο οποίος στη γαλλική έννομη τάξη τυγχάνει αυξημένης προστασίας λόγω της μοναδικότητας και της ιδιαίτερης φύσης του. Αν και δεν διαπιστώθηκε πρόσβαση στους πλήρεις ατομικούς φακέλους των ανέργων, οι οποίοι περιλαμβάνουν και δεδομένα υγείας, η CNIL έκρινε ότι ο συνδυασμός και μόνο των δεδομένων που διέρρευσαν δημιουργεί σοβαρούς κινδύνους για την ιδιωτική ζωή και την ασφάλεια των υποκειμένων των δεδομένων.

Μετά τη γνωστοποίηση της παραβίασης, η CNIL προχώρησε σε επιτόπιο έλεγχο και άνοιξε επίσημη διαδικασία διερεύνησης. Ο εισηγητής της υπόθεσης κατέληξε στο συμπέρασμα ότι το France Travail δεν είχε λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει επίπεδο ασφάλειας ανάλογο με τους κινδύνους της επεξεργασίας. Το βασικό νομικό ζήτημα που εξετάστηκε ήταν αν ο οργανισμός, ως κύριος φορέας του πληροφοριακού συστήματος, έφερε την κύρια ευθύνη για τα ελλείμματα ασφάλειας, παρά το γεγονός ότι η πρόσβαση είχε παραχωρηθεί και σε τρίτους συνυπεύθυνους επεξεργασίας.

Η CNIL έκρινε ότι, παρά την από κοινού ευθύνη, το FranceTravail διατηρούσε τον καθοριστικό ρόλο στον σχεδιασμό, την υλοποίηση και την εποπτεία των μέτρων ασφάλειας του συστήματος. Από τα συμβατικά και οργανωτικά έγγραφα προέκυπτε ότι ο οργανισμός είχε την πρωτοβουλία και την ευθύνη για την εφαρμογή της πολιτικής ασφάλειας πληροφοριακών συστημάτων, καθώς και τη δυνατότητα ελέγχου και επιβολής συμμόρφωσης στους συνεργαζόμενους φορείς.

Σε ουσιαστικό επίπεδο, η CNIL εντόπισε τρεις βασικές κατηγορίες πλημμελειών.

Πρώτον, η πολιτική αυθεντικοποίησης χρηστών κρίθηκε ανεπαρκής. Αν και προβλεπόταν χρήση κωδικών πρόσβασης με ελάχιστα κριτήρια πολυπλοκότητας, το όριο των 50 αποτυχημένων προσπαθειών πριν τον αποκλεισμό λογαριασμού θεωρήθηκε υπερβολικά υψηλό και ασύμβατο με τις συστάσεις της ίδιας της αρχής και της εθνικής αρχής κυβερνοασφάλειας.

Δεύτερον, δεν είχε εφαρμοστεί πολυπαραγοντική αυθεντικοποίηση για τους λογαριασμούς των συμβούλων CAP EMPLOI, παρά το γεγονός ότι η ανάγκη αυτή είχε αναγνωριστεί ήδη στις εκτιμήσεις αντικτύπου και είχε ανακοινωθεί ως μέτρο προς υλοποίηση.

Τρίτον, οι διαδικασίες παρακολούθησης και ανάλυσης των αρχείων καταγραφής συμβάντων δεν επέτρεψαν την έγκαιρη ανίχνευση μιας δραστηριότητας που, εκ των υστέρων, χαρακτηρίστηκε ως προφανώς ανώμαλη, τόσο ως προς τον όγκο όσο και ως προς τη συχνότητα και το χρονικό πλαίσιο των αιτημάτων.

Επιπλέον, η CNIL διαπίστωσε ότι τα δικαιώματα πρόσβασης των χρηστών CAPEMPLOI ήταν υπερβολικά και αδικαιολόγητα ευρεία. Οι σύμβουλοι μπορούσαν να αναζητούν και να προβάλλουν δεδομένα για το σύνολο των ανέργων σε εθνικό επίπεδο, και όχι μόνο για τα άτομα που παρακολουθούσαν στο πλαίσιο της αποστολής τους. Το γεγονός αυτό, κατά την κρίση της αρχής, διεύρυνε σημαντικά το εύρος της παραβίασης.

Κατά τον καθορισμό της κύρωσης, η CNIL έλαβε υπόψη τη σοβαρότητα της παράβασης, τον εξαιρετικά μεγάλο αριθμό των θιγόμενων προσώπων, τη φύση των δεδομένων, καθώς και το γεγονός ότι οι κίνδυνοι είχαν εντοπιστεί εκ των προτέρων αλλά δεν είχαν αντιμετωπιστεί εγκαίρως. Έκρινε ότι η παράβαση οφειλόταν σε σοβαρή αμέλεια και όχι σε τυχαίο ή απρόβλεπτο γεγονός.

Παράλληλα, η γαλλική αρχή απέρριψε τον ισχυρισμό ότι το FranceTravail, ως δημόσιος οργανισμός, δεν μπορούσε να αποτελέσει αποδέκτη διοικητικού προστίμου, επισημαίνοντας ότι πρόκειται για νομικό πρόσωπο διακριτό από το κράτος, με οικονομική αυτοτέλεια.

Επί του ζητήματος αυτού, το France Travail υποστήριξε ότι οι διατάξεις της γαλλικής νομοθεσίας που εφαρμόζουν τον ΓΚΠΔ αποκλείουν την επιβολή προστίμου για επεξεργασίες που διενεργούνται από το κράτος, και ότι η επιβολή προστίμου σε έναν τέτοιο οργανισμό θα ισοδυναμούσε πρακτικά με το να επιβάλλει το κράτος πρόστιμο στον εαυτό του. Προέβαλε επίσης ότι το μεγαλύτερο μέρος των πόρων του προέρχεται άμεσα ή έμμεσα από δημόσια χρηματοδότηση και ότι θα έπρεπε, κατά προτεραιότητα, να επιλεγούν ηπιότερα μέτρα, όπως σύσταση ή εντολή συμμόρφωσης.

Η CNIL απέρριψε τον ισχυρισμό αυτό σε τρία επίπεδα και για τρεις διαφορετικούς λόγους. Καταρχάς, διευκρίνισε ότι η εξαίρεση από την επιβολή διοικητικού προστίμου, που προβλέπεται στη γαλλική νομοθεσία, αφορά μόνο επεξεργασίες που διενεργούνται άμεσα από το ίδιο το κράτος. Η εξαίρεση αυτή, κατά την αρχή, πρέπει να ερμηνεύεται στενά και δεν επεκτείνεται σε νομικά πρόσωπα δημοσίου δικαίου που διαθέτουν ίδια νομική προσωπικότητα.

Στη συνέχεια, η γαλλική αρχή υπογράμμισε ότι το France Travail είναι εθνικός δημόσιος διοικητικός φορέας με νομική προσωπικότητα, σαφώς διακριτός από το κράτος, ακόμη και αν τελεί υπό κρατική εποπτεία και εξυπηρετεί σκοπούς γενικού συμφέροντος. Δεν πρόκειται, δηλαδή, για υπηρεσία του κράτους, αλλά για αυτοτελή νομική οντότητα.

Κρίσιμο ρόλο στο σκεπτικό της γαλλικής αρχής έπαιξε και το ζήτημα της οικονομικής αυτοτέλειας, με την CNIL να επισημαίνει ότι το France Travail διαθέτει ίδιο προϋπολογισμό και δεν χρηματοδοτείται αποκλειστικά από τον κρατικό προϋπολογισμό, αλλά σε σημαντικό βαθμό από υποχρεωτικές εισφορές εργοδοτών, γεγονός που ενισχύει τον χαρακτήρα του ως αυτοτελούς οικονομικού φορέα και όχι ως απλής κρατικής δομής.

Επιπλέον, η CNIL επεσήμανε ότι το γεγονός πως οι γενικές στρατηγικές κατευθύνσεις καθορίζονται από το κράτος δεν αναιρεί το περιθώριο πρωτοβουλίας και ευθύνης που διαθέτει ο οργανισμός ως προς την οργάνωση και την ασφάλεια των πληροφοριακών του συστημάτων. Ειδικά στον τομέα της προστασίας δεδομένων, το France Travail είχε ουσιαστική διακριτική ευχέρεια και πλήρη γνώση των κινδύνων.

Τελικώς, η CNIL επέβαλε διοικητικό πρόστιμο ύψους 5 εκατομμυρίων ευρώ, στο ήμισυ δηλαδή του ανώτατου ορίου των 10 εκατομμυρίων που προβλέπεται για δημόσιους φορείς. Παράλληλα, έδωσε διαταγή συμμόρφωσης, με την οποία υποχρέωσε τον οργανισμό να αποδείξει την υλοποίηση συγκεκριμένων διορθωτικών μέτρων εντός προκαθορισμένων προθεσμιών, υπό την απειλή χρηματικής ποινής 5.000 ευρώ για κάθε ημέρα καθυστέρησης.