Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CNIL : Faille de sécurité de données sensibles en ligne, Avertissement public pour le PARTI SOCIALISTE

octobre 2016 par CNIL

Le 26 mai 2016, la CNIL a été informée de l’existence d’une faille de sécurité entraînant une fuite de données sur le site du Parti Socialiste. Lors d’un contrôle en ligne réalisé dès le lendemain, la CNIL a constaté que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes.

Les contrôleurs de la CNIL ont en effet pu accéder librement, par la saisie d’une URL, à la plateforme de suivi des primo-adhésions au Parti Socialiste effectuées en ligne. Ils ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents.

Cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme. Elle a concerné plusieurs dizaines de milliers de primo-adhérents.

Alerté le même jour par la CNIL de cette faille, le PS a immédiatement pris les mesures nécessaires pour y mettre fin.

Un second contrôle réalisé cette fois dans les locaux du PS le 15 juin 2016, destiné à comprendre les raisons de la faille, a permis de constater que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement. En effet, il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.

Le contrôle a aussi permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.

En conséquence, la Présidente de la CNIL a décidé d’engager une procédure de sanction en désignant un rapporteur. La formation restreinte de la CNIL a prononcé un avertissement public car elle a estimé que le Parti Socialiste avait manqué à ses obligations :

- de veiller à la sécurité des données à caractère personnel des primo-adhérents, en méconnaissance de l’article 34 de la loi Informatique et Libertés ;
- de fixer une durée de conservation des données proportionnelle aux finalités du traitement en méconnaissance de l’article 6-5 de la loi Informatique et Libertés.

Enfin, la formation restreinte a décidé de rendre publique sa décision en raison de la gravité des manquements constatés, du nombre de personnes concernées par la faille et du caractère particulièrement sensible des données en cause qui permettaient notamment d’avoir connaissance de leurs opinions politiques.




Voir les articles précédents

    

Voir les articles suivants