Quelques jours après la mise en demeure prononcée par la CNIL à l’encontre du e-commerçant CDiscount, pour manquements graves à la sécurité des données, l'autorité administrative a cette fois publiquement averti le Parti socialiste sur la protection des données personnelles. Son avertissement a été communiqué le 27 octobre dernier, mais l’affaire remonte en fait à plusieurs mois. Le 26 mai dernier, la Commission Nationale de l’Informatique et des Libertés avait été informée qu’une faille sur la plateforme web utilisée par le parti politique pour suivre ses adhésions permettait d’accéder librement aux coordonnées des adhérents récemment inscrits.
Dans la foulée, les contrôleurs de la CNIL avaient vérifié et constaté qu’en l’absence d’une procédure sécurisée d’authentification à cette plateforme, il était effectivement possible, « par la saisie d’une URL » de « prendre connaissance (…) des nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents ». Le PS avait « immédiatement » remédié au problème lorsque la CNIL l’avait alerté.
Manquements graves sur des données à caractère sensible
Néanmoins, lors d’un deuxième contrôle effectué le 25 juin suivant « pour comprendre les raisons de la faille », l’autorité de régulation a constaté que « les mesures élémentaires de sécurité n’avaient pas été mises en oeuvre initialement ». Outre l’absence de procédure d’authentification au site, il n’y avait pas non plus de système de traçabilité pour repérer une éventuelle fuite de données. Par ailleurs, la CNIL explique avoir également constaté que le PS conservait les données personnelles de cette plateforme « sans limitation de durée » (certaines demandes d’adhésion remontant à 2010) au lieu de les archiver.
Autant de fragilités dans la gestion de ces données personnelles qui ont conduit la CNIL à estimer que le PS avait manqué à ses obligations de veiller à leur sécurité en méconnaissance de l’article 34 de la loi Informatiques et Libertés. Le fait de ne pas avoir fixé de durée de conservation à ces données relève de son côté de l’article 6-5 de cette même loi. L’autorité administrative a estimé qu'il s'agissait de manquements graves en raison du nombre de personnes concernées (plusieurs dizaines de milliers de primo-adhérents) et du caractère sensible des informations révélant des opinions politiques. D'où sa décision d’engager une « procédure de sanction en désignant un rapporteur » et de rendre sa décision publique.