Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 70

magazine
La Cnil n'a pas entendu une telle justification rappelant ainsi :
■ que conformément à un arrêt du
Conseil d'Etat5, une durée illimitée de conservation ne peut être
considérée comme proportionnée au regard des finalités d'un
traitement ;
■ qu'il aurait dû être mis en place
un mécanisme d'archives intermédiaires6, garantissant le retrait des
données de primo-adhérents en
base active au-delà d'une durée
proportionnée déterminée. Notons
par ailleurs qu'un tel mécanisme
aurait sans doute permis de limiter
l'ampleur de la fuite de données,
puisqu'il aurait permis de limiter
le nombre de données contenues
dans la base active mise en cause.

70

Il est notamment rappelé à l'article 34
venant imposer la sécurisation des
traitements « au regard de la nature
des données et des risques présentés par le traitement ». Le PS, de par
la nature des données traitées, aurait
donc dû mettre en place une sécurisation d'autant plus renforcée de
ses traitements. Cette obligation n'a
visiblement pas été respectée. Pire,
plusieurs signes auraient dû pousser le Parti socialiste à corriger cette
faille10, mais il n'en fut rien.

SUR LA SANCTION
PRONONCÉE

C'est ainsi que des dizaines de
milliers de données permettant de
déterminer directement ou indirectement une appartenance politique
ont pu être exposées. A défaut de
moyens permettant de tracer les accès
aux traitements (cf les manquements
constatés), l'ampleur de la fuite reste
incertaine.

Le
Parti
socialiste
écope
d'un « simple » avertissement public,
quelques mois seulement après une
sanction identique prononcée à l'encontre de la société Ricard7. Cette
société avait laissé sur son site www.
ricard.com un accès libre et non
sécurisé aux données relatives à son
programme de fidélité (nom, prénom,
e-mails, date de naissance, téléphones, informations relatives aux
transactions).

L'absence de sanction pécuniaire
reste donc difficilement compréhensible, notamment lorsque l'on étudie
la sanction de 50 000€ prononcée par
la Cnil à l'égard de la société Optical
Center en novembre 201511 pour un
manquement également fondé sur
de lourds manquements dans la
sécurisation de ses traitements. Ces
manquements, en dépit de leur gravité, n'avaient pourtant pas aboutis à la
fuite de données.

Pour des faits quasi-similaires, le principe d'équité pourrait permettre de
justifier la faible sanction prononcée à
l'encontre du PS.
Pourtant, il existe une différence essentielle entre ces deux affaires : la nature
des données ayant été exposées. Le
traitement des primo-adhérents du
PS comporte des données sensibles8,
à savoir des données susceptibles de
révéler l'opinion politique, réelle ou
supposée9, des personnes concernées.
A contrario, le traitement réalisé par
la société Ricard ne comportait pas de
données dites sensibles, bien que la
simple révélation d'appartenance au
programme de fidélité de la marque
puisse être préjudiciable pour les
personnes concernées...
Or, l'un des fondements essentiels de
la loi n°78-17 du 6 janvier 1978 modifiée est le principe de proportionnalité.

Au regard des éléments précités, au
regard des efforts conséquents que
déploie la Cnil envers les candidats,
élus et partis politiques, via la diffusion
de très nombreux supports informatifs
en matière de protection des données
personnelles12, via l'élaboration de
dispositifs plutôt avantageux (notamment la notion de « contacts réguliers »13), mais également compte tenu
de l'évolution du pouvoir de sanctions
dont dispose ou va disposer l'autorité14, une sanction pécuniaire, même
symbolique, aurait certainement été
appropriée et bénéfique à la protection de la vie privée des citoyens15.

Florent GASTAUD
Juriste NTIC
Spécialiste des questions
Informatiques et libertés
EXPERTISES FÉVRIER 2017

Notes
(1) Il est à cet effet notable que la délibération de
la Cnil cite la source de cette alerte de sécurité, ainsi
que le site dont il est l'éditeur : http://www.zataz.com/
(2) Article sur apprendre-php.com - « traitement
des formulaires avec $_GET et $_POST » - http://
www.apprendre-php.com/tutoriels/tutoriel-12-traitement-des-formulaires-avec-get-et-post.html
(3) Note technique de l'Anssi - N° DAT-NT-003/
ANSSI/SDE/NP - 3 aout 2015 - https://www.ssi.gouv.fr/
uploads/2012/09/NT_IPsec.pdf
(4) Lire à cet effet la note technique publiée
par l'Anssi
N° DAT-NT-012/ANSSI/SDE/NP Recommandations de sécurité pour la mise
en œuvre d'un système de journalisation
2 décembre 2013 - https://www.ssi.gouv.fr/uploads/
IMG/pdf/NP_Journalisation_NoteTech.pdf
(5) Arrêt du Conseil d'Etat - 18 novembre 2015
- N°372111
(6) Lire à cet effet « Document de base sur la
conservation des données » publié par l'AFCDP
https://www.afcdp.net/IMG/pdf/Document_de_
base_Conservation_des_donnees_V2_2.pdf
(7) Délibération de la formation restreinte n°2016108 du 21 avril 2016 prononçant un avertissement à
l'encontre de la société RICARD - https://www.cnil.
fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf
(8) Définies par l'article 8 de la loi n°78-17 du
6 janvier 1978 relative à l'informatique, aux fichiers
et aux libertés - https://www.legifrance.gouv.fr/
affichTexte.do?cidTexte=JORFTEXT000000886460
(9) Guide de la Cnil - Communication politique
- Obligations légales et bonnes pratiques - édition
janvier 2012 - https://www.cnil.fr/sites/default/files/
typo/document/CNIL_Politique.pdf
(10) Notons à cet effet que le journaliste Damien
Bancal révèle avoir tenté d'alerter à de nombreuses
reprises le Parti socialiste : http://www.zataz.com/
cnil-intervient-corriger-fuite-donnees-ps/.
Notons
par ailleurs que le traitement des primo-adhérents
semble avoir connu quelques difficultés en matière
d'intégrité des données traitées qui aurait pu alerter
le PS : http://www.europe1.fr/faits-divers/metz-enquete-interne-sur-un-etonnant-nombre-dadhesionau-parti-socialiste-2748521
(11) Délibération n° 2015-379 du 5 novembre 2015
prononçant une sanction pécuniaire à l'encontre
de la société OPTICAL CENTER - https://www.cnil.
fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf
(12) Voir à cet effet les très nombreux articles sur le
site www.cnil.fr et plus récemment le Guide publique
conjointement publié entre la CNIL et le CSA : https://
www.cnil.fr/sites/default/files/atoms/files/guide_cnil_
et_csa.pdf - Voir également l'article « Mots de passe
et exigences de la CNIL » - Expertises 2015 - Florent
Gastaud
(13) Notion instaurée par la CNIL dans sa délibération n° 2012-021 du 26 janvier 2012 portant adoption
d'une norme simplifiée relative aux traitements
automatisés de données à caractère personnel mis
en œuvre par les partis ou groupements à caractère
politique, les élus ou les candidats à des fonctions
électives à des fins de communication politique
(norme simplifiée n° 34) - https://www.legifrance.
gouv.fr/affichCnil.do?id=CNILTEXT000025365982
(14) Voir les articles 65 de la loi n° 2016-1321
du 7 octobre 2016 pour une République numérique
et 83 du règlement 2016/679 relatif à la protection des
personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/
CE (règlement général sur la protection des données)
(15) En référence à l'article 1 de la loi n°78-17 du
6 janvier 1978 modifiée disposant « L'informatique
doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération
internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie
privée, ni aux libertés individuelles ou publiques. [ ] »


http://www.zataz.com/ http://www.apprendre-php.com http://www.apprendre-php.com/tutoriels/tutoriel-12-traitement-des-formulaires-avec-get-et-post.html http://www.apprendre-php.com/tutoriels/tutoriel-12-traitement-des-formulaires-avec-get-et-post.html http://www.apprendre-php.com/tutoriels/tutoriel-12-traitement-des-formulaires-avec-get-et-post.html https://www.ssi.gouv.fr/uploads/2012/09/NT_IPsec.pdf https://www.ssi.gouv.fr/uploads/2012/09/NT_IPsec.pdf https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Journalisation_NoteTech.pdf https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Journalisation_NoteTech.pdf https://www.afcdp.net/IMG/pdf/Document_de_base_Conservation_des_donnees_V2_2.pdf https://www.afcdp.net/IMG/pdf/Document_de_base_Conservation_des_donnees_V2_2.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460 https://www.cnil.fr/sites/default/files/typo/document/CNIL_Politique.pdf https://www.cnil.fr/sites/default/files/typo/document/CNIL_Politique.pdf http://www.zataz.com/cnil-intervient-corriger-fuite-donnees-ps/ http://www.ricard.com/ http://www.zataz.com/cnil-intervient-corriger-fuite-donnees-ps/ http://www.ricard.com/ http://www.europe1.fr/faits-divers/metz-enquete-interne-sur-un-etonnant-nombre-dadhesion-au-parti-socialiste-2748521 http://www.europe1.fr/faits-divers/metz-enquete-interne-sur-un-etonnant-nombre-dadhesion-au-parti-socialiste-2748521 http://www.europe1.fr/faits-divers/metz-enquete-interne-sur-un-etonnant-nombre-dadhesion-au-parti-socialiste-2748521 https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf http://www.cnil.fr https://www.cnil.fr/sites/default/files/atoms/files/guide_cnil_et_csa.pdf https://www.cnil.fr/sites/default/files/atoms/files/guide_cnil_et_csa.pdf https://www.cnil.fr/sites/default/files/atoms/files/guide_cnil_et_csa.pdf https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000025365982 https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000025365982

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421

Couverture
Editorial & Sommaire
MAGAZINE OBJETS CONNECTÉS : LA « TECHNOLOGIE CALME »…QUI A BESOIN DE CADRE
INTERVIEW LA BLOCKCHAIN, UN NOUVEAU PARADIGME POUR LE NUMÉRIQUE
DOCTRINE
DROIT SOCIAL - LE DROIT À LA DECONNEXION : COMMENT FAIRE ?
NUMÉRISATION - UN DÉCRET QUI N’APPORTE PAS TOUTES LES GARANTIES
DONNÉES PERSONNELLES - SIMPLE AVERTISSEMENT PUBLIC POUR LE PS
DÉMATÉRIALISATION - BULLETINS DE PAIE : QUELLE PRATIQUE ? QUEL FORMALISME ?
DONNÉES PERSONNELLES - STATUT DE L'ADRESSE IP
JURISPRUDENCE
M. B. / BUNDESREPUBLIK DEUTSCHLAND
CABINET PETERSON / GRP. LOGISNEUF ET AUTRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - MAGAZINE OBJETS CONNECTÉS : LA « TECHNOLOGIE CALME »…QUI A BESOIN DE CADRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 44
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 45
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 46
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 47
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 48
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 49
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 50
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 51
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 52
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - INTERVIEW LA BLOCKCHAIN, UN NOUVEAU PARADIGME POUR LE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 54
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 55
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 56
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 57
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 58
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 59
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - DROIT SOCIAL - LE DROIT À LA DECONNEXION : COMMENT FAIRE ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 61
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 62
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 63
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 64
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - NUMÉRISATION - UN DÉCRET QUI N’APPORTE PAS TOUTES LES GARANTIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 66
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 67
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 68
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - DONNÉES PERSONNELLES - SIMPLE AVERTISSEMENT PUBLIC POUR LE PS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 70
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - DÉMATÉRIALISATION - BULLETINS DE PAIE : QUELLE PRATIQUE ? QUEL FORMALISME ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 72
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - DONNÉES PERSONNELLES - STATUT DE L'ADRESSE IP
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 74
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - M. B. / BUNDESREPUBLIK DEUTSCHLAND
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 76
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 77
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 78
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - CABINET PETERSON / GRP. LOGISNEUF ET AUTRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2017 - n°421 - 80
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com