lundi 29 mai 2017    || Inscription
BanniereNews
 
 

Une faille de sécurité importante dans la protection des données des primo-adhérents a entraîné le 27 octobre une sanction de la Cnil à l’égard du Parti Socialiste en désignant un rapporteur.

 

Rappelons les faits : le 26 mai 2016, la Cnil a été informée de l’existence d’une faille de sécurité entraînant une fuite de données sur le site du Parti Socialiste. Les faits sont particulièrement graves, puisque, selon le communiqué de la Cnil, les contrôleurs de la Cnil ont pu accéder publiquement par la saisie d’une URL à la plate-forme de suivi des primo-adhésions du parti en ligne. « Ils ont notamment » précise le communiqué, « pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone, moyens de paiement et montant de la cotisation de certains adhérents ». « Cette faille », précise le communiqué, « avait été rendue possible par l’utilisation d’une technique d’authentification non sécurisée à la plate-forme. Elle a concerné plusieurs dizaines de milliers de primo-adhérents ». 

Des mesures élémentaires de sécurité non mises en oeuvre

Un second contrôle réalisé dans les locaux du PS le 15 juin 2016 a permis de constater « que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement. En effet, il n’existait pas de procédure d’authentification forte, ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille ». « Le contrôle », précise encore le communiqué, « a aussi permis de constater que le PS conservait sans limitation de durée les données personnelles de la plate-forme », ce en contradiction les plus élémentaires avec la Loi Informatique et Libertés. 

Les faits reprochés sont particulièrement graves. En résumé, il n’y a pas eu de protection des données des adhérents au sein du Parti Socialiste, et la Cnil a décidé de prononcer un avertissement public parce que le Parti Socialiste avait manqué à ses obligations : 
- « de veiller à la sécurité des données à caractère personnel des primo-adhérents en méconnaissance de l’article 34 de la Loi Informatique & Libertés »
- « de fixer une durée de conservation des données proportionnelles aux finalités du traitement en méconnaissance de l’article 6-5 de la Loi Informatiques et Libertés ».

En période pré-electorale où les données des adhérents sont de toutes façons des données très sensibles, ce constat n’est pas très rassurant sur la politique de sécurité des partis politiques.