La CNIL tape sur les doigts du parti socialiste. La commission a remarqué que le PS n'avait pas pris les dispositions adéquates pour sécuriser et gérer correctement les données personnelles de ses adhérents.

Pour cette fois, le parti socialiste s’en tire « juste » avec un avertissement public. Mais à l’avenir, le mouvement emmené par Jean-Christophe Cambadélis pourrait très bien récolter une sanction plus sévère si la Commission nationale de l’informatique et des libertés (CNIL) constate à nouveau une certaine légèreté dans la façon de protéger les données relatives aux adhérents du PS.

Jeudi, la CNIL a en effet adressé une mise en garde au parti socialiste à la suite d’une faille qui avait été détectée fin mai. Corrigée depuis, la brèche permettait de voir les informations personnelles (nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation) des militants.

cnil-logo

Plusieurs dizaines de milliers de personnes étaient potentiellement concernées par cette vulnérabilité causée par « l’utilisation d’une technique non sécurisée d’authentification à la plateforme ».

Deux semaines après la découverte du problème, les contrôleurs de la CNIL sont intervenus dans les locaux du PS pour comprendre son origine.

Les mesures élémentaires de sécurité n’avaient pas été mises en œuvre

Le constat fait sur place n’a pas été à l’avantage des équipes chargées de concevoir le site web : « les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement », commente la commission, ajoutant « qu’il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille ».

La commission poursuit en notant que la durée de conservation des données personnelles de la plateforme était sans limite, «  ce qui avait accru la portée de la fuite de données ». En effet, la base de données en question contenait des éléments remontant à 2010. Or ceux-ci auraient dû être détruits depuis le temps ou en tout cas archivés de manière à ne plus être avec les données plus récentes.

Isabelle Falque-Pierrotin, présidente de la CNIL et du G29, le 13 avril 2016.
Isabelle Falque-Pierrotin, présidente de la CNIL et du G29, le 13 avril 2016.

Les deux erreurs du PS — manquement à la sécurité des données à caractère personnel d’une part et absence d’une durée de conservation des données proportionnelle aux finalités du traitement — ont conduit la présidente de la CNIL à enclencher une procédure de sanction. La formation restreinte de la commission s’est réunie et un avertissement public a été prononcé.

La publication de l’avertissement est justifiée par plusieurs arguments : les manquements du PS quant à ses obligations, qualifiés de graves par la CNIL, le nombre de personnes potentiellement affectées par la brèche et le caractère sensible des données, puisque la faille pouvait permettre de connaître les opinions politiques d’individus qui ne voulaient pas forcément faire connaître. leur appartenance au PS.

Partager sur les réseaux sociaux

Articles liés