Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 69

doctrine

Données personnelles
Simple avertissement
public pour le PS

Comprendre les raisons de l'avertissement public
prononcé par la Cnil à l'encontre du Parti socialiste

e 13 octobre 2016, la Cnil
(Commission
nationale
de
l'informatique et des libertés)
prononçait un avertissement
public à l'encontre du Parti socialiste (PS).
A cette occasion, l'autorité de contrôle vient
rappeler quelques règles élémentaires de
sécurité. C'est dans le cadre de ces délibérations qu'il convient, pour les acteurs
privés et publics, de piocher les exigences
pratiques de sécurité recommandées par
la Cnil, sur le fondement du très générique
article 34 de la loi n°78-17 du 6 janvier 1978
modifiée, relatif à la sécurité des traitements de données à caractère personnel.

DANS LES FAITS
La Cnil fut alertée en mai 2016 par un
journaliste spécialisé en sécurité des
systèmes d'information, Monsieur Damien
Bancal1, de la présence d'une faille de
sécurité sur un sous-domaine du site du
Parti socialiste : www.parti-socialiste.fr.
Le lendemain, la Présidente de l'autorité,
Madame Isabelle Falque-Pierrotin, décidait la réalisation d'un contrôle en ligne
du site suscité. Il est notable de souligner
la particulière réactivité de l'autorité en
la matière. Ce contrôle a mis en exergue
qu'il était possible d'accéder librement à
plusieurs dizaines de milliers de données
concernant des primo-adhérents du parti
ainsi que les données concernant des
personnes ayant réalisé une demande
d'adhésion et dont le traitement n'était pas
finalisé. Les données concernaient les
demandes d'adhésion réalisées via le site
du PS depuis l'année 2010 et étaient précisément constituées des :
■ nom, prénom ;
■ e-mail ;
■ adresse postale.

Pour certaines personnes, d'autres
données étaient également accessibles :
■ numéro de téléphone ;
■ date de naissance ;
■ adresse IP ;
■ montant de la cotisation et mode
de paiement utilisé.
Enfin, il était également possible de procéder à la création de profils. Des profils fictifs
ont ou auraient ainsi pu être ainsi créés.

SUR LES MANQUEMENTS
CONSTATÉS
Sur le fondement de l'article 34 de la loi
n°78-17 du 6 janvier 1978 modifiée, la Cnil
vient notamment préciser :
■ qu'il convient d'utiliser la
méthode « POST » pour les formulaires
PHP permettant l'authentification d'un
utilisateur. Le site du PS utilisait en effet
la méthode « GET » sur ses formulaires. Or, cette méthode fait circuler
les informations du formulaire en clair
dans une barre d'adresse web. A titre
d'illustration, c'est cette méthode qui
est utilisée par le moteur de recherche
Google. Ainsi, lorsque vous faites une
recherche sur la requête « chat », l'URL
qui s'affichera dans votre navigateur
sera de type « https://www.google.fr/
search?q=chat ». Notons par ailleurs
qu'à peu près n'importe quel tutoriel
PHP pour débutant fait état de cette
bonne pratique2 ;
■ outre l'utilisation d'une méthode PHP
permettant le transfert des informations d'un formulaire d'authentification
de manière masquée, il convient
également de crypter ces informations
(notons que la méthode « POST »
masque mais ne crypte pas).

EXPERTISES FÉVRIER 2017

A cet effet, il convient que les informations du formulaire circulent via un
protocole de type HTTPS ;
■ l'algorithme de hachage MD5 ne
constitue pas une méthode fiable de
hachage, au même titre d'ailleurs que
toute méthode utilisant des clés de
moins de 256 bits3. Ainsi, dans le cadre
d'un audit de conformité d'un logiciel,
il conviendra d'une part de s'assurer
qu'un certain nombre de données sont
hachées en base (notamment les mots
de passe), mais également que le mode
de hachage utilisé est réputé fiable ;
■ qu'il convient de disposer d'un dispositif de traçage des accès. Plus généralement, un tel dispositif doit permettre de
tracer et piloter les actions réalisées sur
un logiciel ou une base de données :
accès, lecture, écriture, suppression4.
Grâce à un tel suivi, la direction informatique du PS aurait certainement pu
identifier d'éventuelles incohérences
dans les actions menées sur sa base.
Le contrôle ayant porté sur une faille
de sécurité, les principaux griefs de la
Cnil à l'encontre du PS furent fondés sur
des aspects techniques de sécurité des
systèmes d'information. La Cnil vient tout
de même relever une non-conformité
complémentaire au titre de l'article 6-5 de
la loi n°78-17 du 6 janvier 1978 modifiée.
L'autorité constate en effet une absence
totale de détermination des durées de
conservation concernant les données de
primo-adhérent. Le PS s'en est défendu
en indiquant que la conservation de ces
données permettait de déterminer si une
adhésion constituait une primo-adhésion ou un renouvellement d'adhésion.
Auquel cas, le montant des cotisations est
amené à varier.

http://www.parti-socialiste.fr https://www.google.fr/search?q=chat

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421