Données personnelles : le Parti socialiste sanctionné pour de graves défauts de sécurité
Données personnelles : le Parti socialiste sanctionné pour de graves défauts de sécurité
Par Martin Untersinger, Damien Leloup
La faille, depuis corrigée, permettait d’accéder à de nombreuses informations sur les nouveaux adhérents du parti.
Le Parti socialiste (PS) a été sanctionné d’un avertissement public, jeudi 27 octobre, par la Commission nationale de l’informatique et des libertés (CNIL) pour de graves manquements en matière de sécurisation des données de ses adhérents.
Il était en effet possible d’accéder, à partir du site Internet du parti, aux « nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement » de certains adhérents, précise la CNIL dans un communiqué.
Cette dernière a été avertie de cette faille le 26 mai, a procédé à un contrôle le lendemain et en a confirmé l’existence. Le PS l’a alors immédiatement corrigée, selon la CNIL.
Les experts de la Commission se sont ensuite rendus, le 15 juin, dans les locaux du parti. Ils ont constaté « que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre » par le parti avant que la faille ne lui soit signalée. Cette dernière concernait une base de données gérant les « primo-adhérents », à savoir les personnes souhaitant adhérer au Parti socialiste et qui s’inscrivent sur le site du parti. De plus, toutes les données n’étaient pas supprimées après utilisation, et la CNIL a constaté que des informations datant de 2010 étaient encore présentes dans la base de données.
« Acte militant public »
Les opinions politiques figurent parmi les données confidentielles listées dans l’article 8 de la loi sur la protection des données de 1978. Les partis politiques et les syndicats sont les seuls organismes à pouvoir collecter des données faisant apparaître l’opinion politique des individus. Au cours de la procédure et pour se défendre, le PS a souligné a contrario que l’adhésion au parti est « de son point de vue, un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».
Malgré la correction de la faille, la CNIL a décidé d’engager une procédure de sanction, qui a donc abouti à un avertissement public. Par ailleurs, la Commission « a décidé de rendre publique sa décision en raison de la gravité des manquements constatés, du nombre de personnes concernées par la faille et du caractère particulièrement sensible des données en cause qui permettaient notamment d’avoir connaissance de leurs opinions politiques ».
