Données personnelles des adhérents

Le Parti Socialiste est l’un des principaux partis politiques français. Il comptait, au 30 avril 2016, 111 450 adhérents. La CNIL a été informée par l’éditeur d’un site de sécurité informatique de l’existence d’une faille de sécurité entraînant une fuite de données à partir d’une URL du site du PS.

Faille de sécurité du site du PS

Une délégation de la CNIL a effectué des vérifications en ligne qui ont permis de constater qu’il était possible d’accéder librement, à partir de l’URL en cause, à un répertoire du nom de domaine parti-socialiste.fr contenant plusieurs fichiers classés sous un onglet Adhésions. Il était possible d’exporter, au format CSV, les données comprises dans ces pages et notamment les nom, prénom, adresses électronique et postale des personnes.

Obligations du responsable du traitement

L’article 34 de la loi du 6 janvier 1978 dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

La CNIL, tout en soulignant la bonne foi du PS qui a réagi immédiatement après la révélation de la faille pour corriger cette dernière, a noté que les mesures élémentaires de sécurité n’avaient pas été prises en amont.

Techniquement,  l’utilisation de la méthode dite GET, qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL, constitue une défaillance importante en termes de sécurité et de confidentialité. Il s’agit, en effet, d’une méthode considérée comme non fiable au regard des règles de l’art informatique, dès lors qu’elle permet à tout utilisateur ayant connaissance de l’URL de récupérer les informations relatives à l’authentification et de les exploiter. Le  PS a, par la suite, utilisé un système d’authentification sécurisé, tel que la méthode dite POST, afin de rendre inexploitables les données obtenues et d’empêcher l’accès à l’interface d’administration de sa base de données.

Le secret contenu au sein de l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans variable aléatoire (« sel »), méthode obsolète qui ne permet pas d’assurer la sécurité des données. Il est ainsi rappelé que pour empêcher toute attaque dite par force brute, une fonction de hachage doit non seulement être réputée forte mais également faire intervenir un aléa dans son calcul par l’injection d’un sel.

Durée de conservation des données

Le PS a également été mis en garde au titre de la conservation sans limite de durée des données d’adhésion de ses membres. Or, la loi informatique et libertés interdit la conservation sans limitation de durée de données à caractère personnel. Le Conseil d’Etat a rappelé dans une décision du 18 novembre 2015 qu’une durée illimitée de conservation des données ne pouvait être regardée comme nécessaire aux finalités d’un traitement (CE, 18 novembre 2015, n° 372111).

La fixation d’une durée de conservation n’impose pas nécessairement la destruction des données à caractère personnel après l’expiration d’un certain délai mais, à tout le moins, leur versement en archives intermédiaires qui permet leur consultation uniquement par un nombre restreint de personnes habilitées.

[toggles class=”yourcustomclass”]

[toggle title=”Télécharger la Décision” class=”in”]

Télécharger 

[/toggle]

[toggle title=”Poser une Question”]

Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h

[/toggle]

[toggle title=”Paramétrer une Alerte”]

Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu’une décision est rendue sur ce thème

[/toggle]

[toggle title=”Commander un Casier judiciaire”]

Commander un bilan judiciaire sur l’une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).

[/toggle]

[acc_item title=”Reproduction”]

Copier ou transmettre ce contenu

[/toggle]

[toggle title=”Vous avez traité un dossier similaire?”]

Maître 

[/toggle]

[/toggles]

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*