Données personnelles : la CNIL sanctionne plusieurs sites de documents administratifs

 |   |  737  mots
Isabelle Falque-Pierrotin, la présidente de la CNIL.
Isabelle Falque-Pierrotin, la présidente de la CNIL. (Crédits : DR)
Il était possible d'accéder librement aux données renseignées par les utilisateurs des sites www.passeport-express.org, www.formalite-acte-de-naissance.org, www.porter-plainte.fr et www.demande-non-gage.org, appartenant à la société Web Editions. Saisie du problème, la CNIL impose à l'entreprise une amende de 25.000 euros.

Le durcissement des obligations autour de la protection des données personnelles depuis la Loi pour une République numérique d'Axelle Lemaire, votée fin 2016, fait ses premières victimes. Après neuf mois d'enquête et d'auditions, la Commission Nationale Informatique et Libertés (CNIL) vient de publier une délibération sanctionnant la société parisienne Web Editions d'une amende de 25.000 euros.

Les manquements à la loi ont été observés par plusieurs sites internet permettant aux particuliers d'effectuer des démarches administratives en ligne. Il s'agit de www.passeport-express.org, www.formalite-acte-de-naissance.org, www.porter-plainte.fr et www.demande-non-gage.org. Tous appartiennent à Web Editions, qui emploie quatre personnes et a réalisé en 2016 un chiffre d'affaires de 759.758,77 euros.

Un simple changement à la fin de l'URL pour accéder aux données personnelles de 717.893 personnes

La CNIL a été saisie "par l'éditeur d'un site web spécialisé dans la sécurité des systèmes d'information" le 17 décembre 2016, au sujet d'un "incident de sécurité" sur certains sites de l'éditeur. Le problème : à cause de l'absence de processus d'identification, il était possible à n'importe qui d'accéder aux données personnelles renseignées par les utilisateurs sur les formulaires de ces sites.

Lors de ses contrôles effectués dès janvier 2017, la CNIL a pu effectivement constater qu'à la fin de chaque démarche administrative des particuliers, une page récapitulative contenant des données à caractère personnel était affichée, comme par exemple (note : ces pages ne sont plus accessibles à ce jour) :

https://www.porter-plainte.fr/DemandeActes/add5/9756

https://www.passeport-express.org/demande_actes/recap/48423

https://www.formalite-acte-de-naissance.org/demande_actes/recap/436770

http://www.demande-non-gage.org/DemandeActes/recap/14

Sur ces quatre sites, il suffisait de modifier les derniers numéros de l'URL, qui correspondent à l'identifiant attribué à une démarche, pour atterrir sur les pages d'autres utilisateurs, et ainsi accéder sans aucune difficulté à des données comme leur adresse électronique, leur adresse postale, leur numéro de téléphone, le nom et prénom de leurs parents lorsque la demande portait sur un acte de naissance, et leur descriptif des faits en cas de dépôt de plainte.

Jusqu'à 717.893 personnes ont pu être concernées par des fuites de données : 506.984 sur formalite-acte-de-naissance.org, 148.929 pour passeport-express.org, 52.018 pour demande-non-gage.org et 9.962 pour porter-plainte.fr. Web Editions souligne toutefois qu'il peut exister des doublons et des démarches non finalisées, ce qui peut faire gonfler le total énoncé.

Une amende modeste motivée par la réaction rapide de l'entreprise

Informée du problème, Web Editions a réagi très rapidement, en quelques jours, en installant un système d'authentification lui permettant de s'assurer que la personne accédant à la page récapitulative de la demande était à l'origine de la démarche. L'entreprise a aussi activé un token, ou jeton authentificateur, inséré dans les courriels de confirmation envoyés aux demandeurs, constituant l'unique moyen d'accéder à la page récapitulative.

Suite à l'instruction, un rapport a préconisé en juillet une amende pouvant aller jusqu'à 200.000 euros. La défense de Web Editions, d'abord écrite en août puis orale début septembre, a poussé le rapporteur à abaisser la sanction à un maximum de 120.000 euros.

Finalement, la CNIL a décidé de l'établir à seulement 25.000 euros. En cause : la rapidité de la réaction de Web Editions. Mais la CNIL estime que la violation de données a été rendue possible par "l'absence de mise en place, par la société, d'un dispositif permettant d'éviter la prévisibilité des URL ainsi que d'une procédure d'identification ou d'authentification des utilisateurs".

Un manque de volonté érigé en exemple

Message aux autres entreprises tentées de simuler l'ignorance par rapport à l'évolution législative : la CNIL estime que Web Editions disposait "dès l'origine", grâce à un cookie, de l'information suite à l'entrée en vigueur de la Loi Lemaire, ce qui lui aurait permis d'assurer la sécurisation des données si elle l'avait souhaité.

Cette violation de données a ainsi été rendue possible par l'absence de mise en place, par la société, d'un dispositif permettant d'éviter la prévisibilité des URL ainsi que d'une procédure d'identification ou d'authentification des utilisateurs. D'autant plus que la rapidité de la réaction de l'entreprise "illustre la simplicité avec laquelle il était possible d'empêcher la violation des données".

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 28/11/2017 à 12:34 :
Face à tant de sérieux, je pense que je vais maintenant utiliser mon pseudo pour les documents administratifs... Tant pis si ça ne plait pas au fisc...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :