Données personnelles : la CNIL prononce une sanction teintée de loi Lemaire
La CNIL condamne l’éditeur de plusieurs sites de délivrance de documents administratifs sur lesquels des données personnelles d’utilisateurs étaient en accès libre.
En se positionnant en tant qu’intermédiaire entre les administrés et les services de l’État, Web Éditions ne pouvait s’abstenir de placer la sécurisation des données à caractère personnel au cœur de ses préoccupations.
La CNIL dresse ce constat dans une délibération du 16 novembre 2017 par laquelle elle inflige à cette SAS parisienne une amende de 25 000 euros*.
Web Éditions présente le profil d’un loup blanc, si on en croit le référencement, sur Signal Arnaques, des plusieurs des sites qu’édite la société.
Pour résumer les commentaires à son égard, elle vendrait des documents administratifs normalement gratuits (L’Écho républicain s’était intéressé, en 2013, au cas d’un couple de retraités d’Eure-et-Loir qui s’était vu facturer 13,90 euros pour un acte de naissance).
La CNIL s’était penchée sur son cas en décembre 2016, après une alerte de « l’éditeur d’un site web spécialisé dans la sécurité des systèmes d’information ».
Ce dernier avait fait part d’un problème de sécurité qui rendait librement accessibles les données personnelles des utilisateurs de trois sites administrés par Web Éditions : passeport-express.org, formalite-acte-de-naissance.org et demande-non-gage.org.
Pour quelques chiffres
Lors de ses missions de contrôle menées en janvier 2017, la Commission avait élargi son analyse à porte-plainte.fr et kbis.pro.
Elle avait pu constater que sur l’ensemble de ces sites, une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait, avec une URL de type https://www.passeport-express.org/demande_actes/recap/48423.
Dans tous les cas, sauf sur kbis.pro, il était possible, en modifiant les derniers numéros de l’URL (correspondant à l’identifiant attribué à une démarche), d’accéder aux informations renseignées par d’autres utilisateurs du site.
Sur la liste figuraient des données d’identification, des numéros de téléphone, des adresses postales et électroniques, les noms et prénoms des parents (pour les demandes d’actes de naissance) et des descriptifs de faits (pour les dépôts de plaintes).
Jusqu’à 717 893 individus ont pu être concernés, d’après les éléments fournis par Web Éditions – qui estime toutefois qu’il peut exister des doublons et des démarches non finalisées : 506 984 sur formalite-acte-de-naissance.org, 148 929 pour passeport-express.org, 52 018 pour demande-non-gage.org et 9 962 pour porter-plainte.fr.
L’effet loi Lemaire
Alerté par e-mail le 13 janvier, Web Éditions avait affirmé, trois jours plus tard, avoir corrigé le problème pour son site de demande d’actes de naissance, tout en assurant que les autres sites suivraient.
La démarche corrective a consisté à implémenter des jetons d’authentification envoyés par e-mail et à déposer, sur les terminaux des utilisateurs, des cookies de session.
Lors d’un contrôle sur place en février 2017, la CNIL a constaté l’effectivité du correctif, non sans regretter « l’absence de mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés ».
Web Éditions avait tenté de faire valoir la nullité de la procédure, ayant résolu le problème avant d’avoir été mis en demeure.
La CNIL a estimé que dans sa lecture modifiée par la loi Lemaire « pour une République numérique » du 7 octobre 2016, le texte invoqué par Web Éditions (le I de l’article 45 de la loi Informatique et Libertés) permet la sanction des manquements constatés mais ne pouvant plus faire valablement l’objet d’une mise en demeure.
Des données sensibles
La Commission a également rejeté les allégations de Web Éditions selon lesquelles « seul un informaticien expérimenté » était en capacité d’accéder aux données. Tout en notant que la mise en place des cookies de session ne représentait pas un effort disproportionné et coûteux.
Autre constat : certaines données considérées comme sensibles au sens de l’article 8 de la loi Informatique et Libertés ont été exposées, par le biais de porter-plainte.fr. Pour exemple : « madame S.B., profite de mon état de fragilité physique et psychologique à rapport mon handicap, pour me harceler…, je suis en pleine dépression, je me fais soigner pour une pathologie sévère, j’ai le VIH ».
Compte tenu de la réactivité de Web Éditions et de sa taille (4 salariés, pour 760 000 euros de chiffre d’affaires en 2016), la CNIL en est restée à 25 000 euros d’amende, alors que le rapporteur avait initialement proposé 200 000 euros.
* Au nom de l’article 34 de la loi Informatique et Libertés, qui pose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher […] que des tiers non autorisés y aient accès ».