CNIL : amende de 25 000 euros pour des données personnelles accessibles via un changement d’URL

Une société éditant des sites spécialisés dans les démarches administratives en ligne (de type demande d’acte de naissance) vient d’être condamnée par la CNIL pour avoir laissé « librement accessibles » des données fournies par ses utilisateurs – noms, numéros de téléphone...

Alertée le 17 décembre 2016, la Commission nationale de l’informatique et des libertés (CNIL) a attendu près d’un mois avant de lancer plusieurs contrôles en ligne sur les site « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org » – tous géré par Web Éditions.

Moyennant une rémunération de quelques dizaines d’euros, ces sites se proposent de vous aider dans l’accomplissement de certaines tâches administratives : préparation du dossier nécessaire à l’établissement d’un passeport, envoi de plainte au procureur de la République, etc.

Une simple modification d’URL permettait d'accéder aux données d’autres utilisateurs

Les 11,12 et 13 janvier derniers, les agents de la CNIL ont toutefois constaté qu’un petit tour de passe-passe permettait d’accéder aux informations fournies par d’autres utilisateurs. « Une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait. En modifiant un numéro dans l’adresse URL de la page récapitulative, ils ont pu accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient », explique l’institution.

En clair, en essayant de changer les chiffres affichés dans la barre d’adresse, il était possible de se retrouver nez à nez avec les informations fournies pour la même démarche, mais par une autre personne. Les données ainsi accessibles étaient loin d’être anodines : nom et prénom, adresses mail et postale, numéro de téléphone...

Figuraient même les noms et prénoms des parents pour les demandes d’actes de naissance, mais aussi – et surtout – les « descriptifs des faits » déposés dans le cadre des plaintes... La gardienne des données personnelles souligne à cet égard qu’étaient parfois évoquées des choses particulièrement sensibles, certaines personnes parlant de leur dépression, de problèmes de santé, etc.

Réaction sous trois jours

Informée par la CNIL de ce problème le 13 janvier, la société Web Éditions est revenue trois jours plus tard vers l’autorité administrative, indiquant que le site « www.formalite-acte-de-naissance.org » avait été modifié et que d'autres mesures correctrices allaient être déployées dans la foulée sur ses autres sites.

Pour parer à ce problème, Web Éditions s’est résolue à utiliser un cookie fourni par le cadre applicatif CAKEPHP. Ce « cookie de session », contenant un identifiant unique, est désormais déposé sur l’équipement terminal de l’utilisateur afin de « s’assurer que la personne souhaitant accéder à une demande pré-enregistrée sur l’un des sites gérés par la société est bien celle qui est à l’origine de la démarche administrative », indique la Commission.

Le problème aurait facilement pu être évité, estime la CNIL

Si la CNIL reconnaît la rapidité à laquelle la société a posé cette « rustine », l’institution n’en demeure pas moins très critique de son comportement global. La gardienne des données personnelles retient tout particulièrement que « les mesures élémentaires de sécurité n’ont pas été prises par la société ».

Et pour cause : il s’avère que Web Éditions « disposait, dès l’origine, du dispositif permettant d’assurer la sécurisation des données à caractère personnel des utilisateurs, mais n’a pas jugé utile d’y recourir. Elle était en effet en possession, avec le cadre applicatif CAKEPHP utilisé pour la création de ses sites internet, du cookie identifiant de session mis en place après l’alerte de la CNIL ».

Une solution « peu coûteuse », souligne l’institution, et dont le recours « ne représentait pas un effort disproportionné » puisqu’elle était « disponible dans l’outil utilisé pour la conception de ses sites internet ».

Une amende de 200 000 euros initialement envisagée

Au titre de ce manquement à l’obligation d’assurer la sécurité des données au titre de l’article 34 de la loi « Informatique et Libertés », le rapporteur de la CNIL proposait initialement d’infliger une sanction pécuniaire de 200 000 euros à Web Éditions (sachant que depuis l’entrée en vigueur de la loi Numérique, l’institution peut aller jusqu’à trois millions d’euros).

De par sa position d’intermédiaire entre les administrés et les services de l’État, la Commission estime que l’entreprise « ne pouvait s’abstenir (...) de placer la sécurisation des données à caractère personnel au cœur de ses préoccupations ».

Après des échanges écrits avec la société, qui soulignait qu’elle n’avait tiré aucun avantage de ce manquement à la loi et que sa coopération avait permis de rectifier rapidement le tir, la CNIL a finalement mis un peu d’eau dans son vin. Il fut au passage difficile de déterminer avec exactitude le nombre de personnes exposées par cette « fuite ». L’autorité administrative retient à cet égard qu’un « nombre important d’utilisateurs, mais aussi de tiers visés dans les formulaires, ont été concernés par l’incident de sécurité ».

Web Éditions, qui craignait pour son avenir économique, a finalement écopé d’une sanction pécuniaire de 25 000 euros. Celle-ci a été rendue publique hier, « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».