Pour cette fois, le parti socialiste s’en tire « juste » avec un avertissement public. Mais à l’avenir, le mouvement emmené par Jean-Christophe Cambadélis pourrait très bien récolter une sanction plus sévère si la Commission nationale de l’informatique et des libertés (CNIL) constate à nouveau une certaine légèreté dans la façon de protéger les données relatives aux adhérents du PS.
Jeudi, la CNIL a en effet adressé une mise en garde au parti socialiste à la suite d’une faille qui avait été détectée fin mai. Corrigée depuis, la brèche permettait de voir les informations personnelles (nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation) des militants.
Plusieurs dizaines de milliers de personnes étaient potentiellement concernées par cette vulnérabilité causée par « l’utilisation d’une technique non sécurisée d’authentification à la plateforme ».
Deux semaines après la découverte du problème, les contrôleurs de la CNIL sont intervenus dans les locaux du PS pour comprendre son origine.
Les mesures élémentaires de sécurité n’avaient pas été mises en œuvre
Le constat fait sur place n’a pas été à l’avantage des équipes chargées de concevoir le site web : « les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement », commente la commission, ajoutant « qu’il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille ».
La commission poursuit en notant que la durée de conservation des données personnelles de la plateforme était sans limite, « ce qui avait accru la portée de la fuite de données ». En effet, la base de données en question contenait des éléments remontant à 2010. Or ceux-ci auraient dû être détruits depuis le temps ou en tout cas archivés de manière à ne plus être avec les données plus récentes.
Isabelle Falque-Pierrotin, présidente de la CNIL et du G29, le 13 avril 2016.
Les deux erreurs du PS — manquement à la sécurité des données à caractère personnel d’une part et absence d’une durée de conservation des données proportionnelle aux finalités du traitement — ont conduit la présidente de la CNIL à enclencher une procédure de sanction. La formation restreinte de la commission s’est réunie et un avertissement public a été prononcé.
La publication de l’avertissement est justifiée par plusieurs arguments : les manquements du PS quant à ses obligations, qualifiés de graves par la CNIL, le nombre de personnes potentiellement affectées par la brèche et le caractère sensible des données, puisque la faille pouvait permettre de connaître les opinions politiques d’individus qui ne voulaient pas forcément faire connaître. leur appartenance au PS.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
