La Cnil épingle le PS pour une vaste fuite de données sur Internet

Plusieurs "dizaines de milliers" d'adhérents seraient concernés. La Commission nationale de l'informatique et des libertés, la Cnil, a lancé un avertissement à la rue de Solférino après avoir constaté "une faille de sécurité entraînant une fuite de données sur le site du Parti socialiste".

Cette faille permettait d'accéder aux "nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents", a précisé la Cnil dans un communiqué.

Une technique "non sécurisée d'authentification"

"Lors d'un contrôle en ligne réalisé [dès le 27 mai dernier, après avoir été informée de l'existence de la faille], la Cnil a constaté que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes", précise la commission.

"Cette faille avait été rendue possible par l'utilisation d'une technique non sécurisée d'authentification à la plateforme" de suivi des primo-adhésions, a précisé la Cnil, qui avait été alertée par l'éditeur du site zataz.com, spécialiste en sécurité informatique.

Le PS a "pris les mesures pour y mettre fin"

"Elle a concerné plusieurs dizaines de milliers de primo-adhérents", a encore indiqué la Commission, qui a constaté que "les mesures élémentaires de sécurité n'avaient pas été mises en oeuvre" par le PS. Après le contrôle de la Cnil, le PS a "pris les mesures nécessaires pour y mettre fin", a ajouté la commission. 

Entendu le 13 septembre par la Cnil, le PS a plaidé "sa bonne foi en rappelant que la faille est survenue à son insu lors de la modification de l'application de suivi des paiements des primo-adhésions le 12 mai 2016", selon la délibération de la Cnil.

Pas de "conséquences dommageables", affirme le PS

Le Parti a également affirmé qu'il n'y avait pas eu de "conséquences dommageables dès lors que [la faille] a été brève, qu'il n'est pas établi que des internautes aient eu accès aux dites données et que ces dernières étaient d'une portée limitée".

Durant l'audience, la formation restreinte de la Cnil a de son côté mis en exergue la "particulière ampleur de l'incident" et a insisté sur le fait qu'il s'agissait d'une fuite de "données sensibles" puisqu'elle a permis de "faire apparaître directement les opinions politiques des personnes".

La Cnil a prononcé un "avertissement"

"Il s'agit d'informations relevant de la vie privée des personnes que ces dernières doivent être libres de révéler ou non", a relevé la Cnil dans sa délibération.

La Cnil a donc décidé de "prononcer un avertissement" à l'encontre du PS et "de rendre publique sa décision en raison de la gravité des manquements constatés, du nombre de personnes concernées par la faille et du caractère particulièrement sensible des données."

Le PS a indiqué jeudi soir "prendre acte" de la décision et a réaffirmé "son attachement à garantir la protection continue de ses données".