La Cnil épingle 15 sites web pour avoir mal sécurisé les données personnelles des internautes

La Commission nationale de l'informatique et des libertés (Cnil), l'autorité chargée de protéger les données des Français, a épinglé quinze sites web des secteurs public et privé pour des manquements dans la sécurisation des données de leurs utilisateurs, a-t-elle indiqué vendredi 8 juillet dans un communiqué. La Cnil ne mentionne pas quels sont les sites web concernés.

Trois mois pour être conforme

En 2021, la Cnil avait fait de la sécurité des sites web français une de ses priorités d'action. Elle a donc procédé à des contrôles en ligne – le cas échéant sous une identité d'emprunt – et sur pièces, sur 21 sites.

Dans quinze cas, les problèmes constatés ont conduit la Cnil à envoyer un courrier de mise en demeure, qui laisse trois mois aux acteurs concernés pour prendre des mesures correctrices.

Selon les constatations de la Cnil, "de nombreux acteurs permettent un accès non sécurisé (HTTP) à leur site web". D'autres utilisent "une version obsolète du protocole devant assurer la sécurité des données en transit" ou des outils cryptographiques "non conformes", indique-t-elle.

Comptes non protégés

La Cnil a constaté aussi que certains comptes utilisateurs étaient insuffisamment protégés, notamment parce qu'ils ne prévoient pas de dispositifs permettant de tracer les connexions anormales.

Dans les six cas restants, la Cnil s'est contentée d'un courrier alertant les responsables sur les mesures à mettre en œuvre pour se conforter à la législation européenne sur les données (RGPD).

Celle-ci prévoit notamment que les sites traitant des données personnelles doivent "mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque".

En 2021, la Cnil a reçu 5.037 notifications de violations de données personnelles, en hausse de 79% sur l'année précédente.