La cybersécurité du web français fait partie des priorités de la CNIL cette année, tout comme la sécurisation des données de santé et l'usage des cookies par les sites web.

Le niveau de cybersécurité du web français est-il suffisant pour éviter les infractions les plus courantes en matière de protection des données personnelles ? Il faut croire que non : la Commission nationale de l’informatique et des libertés (CNIL) observe que les défauts de sécurité des sites web « figurent parmi les manquements les plus souvent constatés lors des contrôles ».

Fort de ce constat, l’autorité de protection française a donc décidé d’axer ses efforts en 2021 sur ce terrain pour pousser l’écosystème à rehausser son niveau de sécurité sur le net. Trois points en particulier vont concentrer toute l’attention de la CNIL, a-t-elle annoncé le 2 mars : la politique des mots de passe des sites web, l’utilisation des connexions sécurisées en HTTPS et la qualité des formulaires collectant  des données.

mot de passe
Les mots de passe insuffisamment robustes restent l’un des principaux points noirs de la sécurité sur le web. // Source : Marco Verch

En matière de mot de passe, il s’agit de s’assurer que les sites obligent les internautes à concevoir des codes cochant les bonnes cases concernant l’hygiène informatique (comme une longueur suffisante) et, on le suppose, prodiguent des conseils de bon sens (éviter de reprendre un mot de passe déjà utilisé ou bien de se servir d’éléments pouvant être devinés, comme une date de naissance).

Les contrôles sur la liaison HTTPS visent cette fois à s’assurer que la connexion entre les internautes et le site web sur lequel ils se rendent se trouve dans un canal protégé. Cette protection évite ainsi que les données circulant entre les deux parties soient interceptées, altérées ou divulguées. Le HTTPS est crucial dans certains cas, comme l’accès à sa banque ou le paiement sur un site de e-commerce.

La bonne nouvelle, c’est qu’une très large part du web est maintenant en HTTPS. Elle est même présente sur la quasi-totalité des sites les plus fréquentés par les internautes. Mais il existe encore des sites qui font l’impasse sur cette couche de protection. Il y a également le problème des sites mal configurés en HTTPS ou ceux qui ne renouvellent pas le certificat permettant d’en profiter.

Quant aux formulaires recueillant des données personnelles pour une raison ou pour une autre (par exemple, si vous voulez vous inscrire à un évènement et que vous devez décliner votre identité), la CNIL ne précise pas exactement ce qu’elle cherche. On peut imaginer que cela peut-être un contrôle sur la façon dont les données sont envoyées. La requête GET en HTTP est moins sûre qu’une requête POST, par exemple.

Des priorités dictées par l’actualité des ransomwares et des données de santé

Actualité oblige, la CNIL souhaite aussi jauger les organismes qu’elle contrôle sur leurs plans de contingence et leurs stratégies pour se prémunir contre les rançongiciels (ransomwares) — et les inciter à en mettre en place, si cela fait défaut. Il existe plusieurs pistes pour limiter son exposition à un rançongiciel. Et même en cas d’infection, tout n’est pas perdu : des défenses existent.

L’actualité récente, d’ailleurs, incite l’autorité de contrôle à se pencher sur la sécurité des données de santé. En février, il a été découvert que les données médicales de près de 500 000 patients français ont fuité. La CNIL a découvert l’affaire dans la presse et les victimes n’ont de toute évidence pas été alertées immédiatement. Nous avons à ce sujet une foire aux questions pour expliquer ce qui s’est passé.

La CNIL entend contribuer à améliorer la prévention des organisations face aux rançongiciels. // Source : Numerama

Enfin, le dernier sujet sur lequel la CNIL entend mettre l’accent regroupe les cookies et les traceurs. Outre le respect des obligations en matière de ciblage publicitaire et de profilage des internautes, la CNIL entend regarder les règles relatives au recueil du consentement, en tenant compte de ses lignes directrices et de sa recommandation, qui ont été adoptées en octobre 2020.

Appelés témoins de connexion, les cookies sont déposés sur le PC ou le smartphone par le site lors d’une visite, via le navigateur web. Le rôle d’un cookie est multiplie : il peut servir à reconnaître un visiteur quand il revient sur un site, lui évitant d’avoir à s’identifier encore une fois. Il peut aussi être un outil de pistage d’un internaute lors de sa navigation en ligne, afin de lui servir de la publicité ciblée.

Avec ce dernier volet, l’institution « répond aux attentes des internautes de plus en plus sensibles aux problématiques de traçage sur Internet, comme en témoignent les plaintes constantes qu’elle reçoit sur ce sujet ». Le sujet n’est pas neuf : déjà début 2020, la CNIL a formulé sept recommandations sur les cookies et les conditions de pistage de l’internaute et de collecte de son consentement.

Sur les trois thématiques retenues comme prioritaires en 2021, une seule est vraiment nouvelle : la cybersécurité. Les deux autres (sécurité des données de santé et usage des cookies) figuraient déjà dans les priorités de la CNIL en 2020. Ces thématiques étant de plus en plus importantes, l’autorité de contrôle les prolonge cette année. En tout, la CNIL prévoit une cinquantaine de procédures formelles de contrôle.

Partager sur les réseaux sociaux

La suite en vidéo