La CNIL explique que ses contrôleurs ont pu accéder librement, par la saisie d’une URL, à la plateforme de suivi des primo-adhésions au Parti Socialiste effectuées en ligne. Ils ont eu accès à un répertoire du nom de domaine « parti-socialiste.fr » contenant plusieurs fichiers classés sous un onglet « Adhésion », lui-même divisé en plusieurs sous-onglets intitulés « en attente de traitement », « adhésion non finalisée » et « adhésion transmise ».La délégation a constaté qu’il était possible d’exporter les éléments suivants au format CSV : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents..
La Commission explique que cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme et qu’elle a concerné plusieurs dizaines de milliers de primo-adhérents. La CNIL a donc entrepris d’alerter le PS qui a immédiatement pris les mesures nécessaires pour y mettre fin.
Cependant, cette alerte a quand même donné lieu à un second contrôle qui a été réalisé 15 juin 2016 cette fois-là dans les locaux du PS : l’objectif était de comprendre les raisons de cette faille de sécurité. Ce contrôle a permis de révéler que les bonnes pratiques en matière de sécurité et de protection des données personnelles n’étaient pas respectées dès le départ. La CNIL affirme par exemple qu’il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.
Le contrôle a également permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.
Suite à ces informations, la Présidente de la CNIL a décidé d’engager une procédure de sanction en désignant un rapporteur. La formation restreinte de la CNIL a opté pour un avertissement public car elle a estimé que le Parti Socialiste avait manqué à ses obligations :
- de veiller à la sécurité des données à caractère personnel des primo-adhérents, en méconnaissance de l’article 34 de la loi Informatique et Libertés (qui dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès) ;
- de fixer une durée de conservation des données proportionnelle aux finalités du traitement en méconnaissance de l’article 6-5 de la loi Informatique et Libertés (qui prévoit que les données à caractères personnelles sont conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées).
Le PS échappe ainsi à une sanction pécuniaire.
Source : annonce CNIL, délibération de la CNIL (au format PDF)
Voir aussi :
La CNIL délivre son premier label « coffre-fort numérique », gage d'un haut niveau de sécurité et de qualité en matière de stockage de données