Le durcissement des obligations autour de la protection des données personnelles depuis la Loi pour une République numérique d'Axelle Lemaire, votée fin 2016, fait ses premières victimes. Après neuf mois d'enquête et d'auditions, la Commission Nationale Informatique et Libertés (CNIL) vient de publier une délibération sanctionnant la société parisienne Web Editions d'une amende de 25.000 euros.
Les manquements à la loi ont été observés par plusieurs sites internet permettant aux particuliers d'effectuer des démarches administratives en ligne. Il s'agit de www.passeport-express.org, www.formalite-acte-de-naissance.org, www.porter-plainte.fr et www.demande-non-gage.org. Tous appartiennent à Web Editions, qui emploie quatre personnes et a réalisé en 2016 un chiffre d'affaires de 759.758,77 euros.
Un simple changement à la fin de l'URL pour accéder aux données personnelles de 717.893 personnes
La CNIL a été saisie "par l'éditeur d'un site web spécialisé dans la sécurité des systèmes d'information" le 17 décembre 2016, au sujet d'un "incident de sécurité" sur certains sites de l'éditeur. Le problème : à cause de l'absence de processus d'identification, il était possible à n'importe qui d'accéder aux données personnelles renseignées par les utilisateurs sur les formulaires de ces sites.
Lors de ses contrôles effectués dès janvier 2017, la CNIL a pu effectivement constater qu'à la fin de chaque démarche administrative des particuliers, une page récapitulative contenant des données à caractère personnel était affichée, comme par exemple (note : ces pages ne sont plus accessibles à ce jour) :
https://www.porter-plainte.fr/DemandeActes/add5/9756
https://www.passeport-express.org/demande_actes/recap/48423
https://www.formalite-acte-de-naissance.org/demande_actes/recap/436770
https://www.demande-non-gage.org/DemandeActes/recap/14
Sur ces quatre sites, il suffisait de modifier les derniers numéros de l'URL, qui correspondent à l'identifiant attribué à une démarche, pour atterrir sur les pages d'autres utilisateurs, et ainsi accéder sans aucune difficulté à des données comme leur adresse électronique, leur adresse postale, leur numéro de téléphone, le nom et prénom de leurs parents lorsque la demande portait sur un acte de naissance, et leur descriptif des faits en cas de dépôt de plainte.
Jusqu'à 717.893 personnes ont pu être concernées par des fuites de données : 506.984 sur formalite-acte-de-naissance.org, 148.929 pour passeport-express.org, 52.018 pour demande-non-gage.org et 9.962 pour porter-plainte.fr. Web Editions souligne toutefois qu'il peut exister des doublons et des démarches non finalisées, ce qui peut faire gonfler le total énoncé.
Une amende modeste motivée par la réaction rapide de l'entreprise
Informée du problème, Web Editions a réagi très rapidement, en quelques jours, en installant un système d'authentification lui permettant de s'assurer que la personne accédant à la page récapitulative de la demande était à l'origine de la démarche. L'entreprise a aussi activé un token, ou jeton authentificateur, inséré dans les courriels de confirmation envoyés aux demandeurs, constituant l'unique moyen d'accéder à la page récapitulative.
Suite à l'instruction, un rapport a préconisé en juillet une amende pouvant aller jusqu'à 200.000 euros. La défense de Web Editions, d'abord écrite en août puis orale début septembre, a poussé le rapporteur à abaisser la sanction à un maximum de 120.000 euros.
Finalement, la CNIL a décidé de l'établir à seulement 25.000 euros. En cause : la rapidité de la réaction de Web Editions. Mais la CNIL estime que la violation de données a été rendue possible par "l'absence de mise en place, par la société, d'un dispositif permettant d'éviter la prévisibilité des URL ainsi que d'une procédure d'identification ou d'authentification des utilisateurs".
Un manque de volonté érigé en exemple
Message aux autres entreprises tentées de simuler l'ignorance par rapport à l'évolution législative : la CNIL estime que Web Editions disposait "dès l'origine", grâce à un cookie, de l'information suite à l'entrée en vigueur de la Loi Lemaire, ce qui lui aurait permis d'assurer la sécurisation des données si elle l'avait souhaité.
Cette violation de données a ainsi été rendue possible par l'absence de mise en place, par la société, d'un dispositif permettant d'éviter la prévisibilité des URL ainsi que d'une procédure d'identification ou d'authentification des utilisateurs. D'autant plus que la rapidité de la réaction de l'entreprise "illustre la simplicité avec laquelle il était possible d'empêcher la violation des données".
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés