PORTER-PLAINTE.FR NE PRÉSERVAIT PAS LA SÉCURITÉ DES DONNÉES RECUEILLIES
Par CM&B AVOCATS.
Simple, rapide et efficace, le site porter-plainte.fr garantit le traitement rapide et efficace de votre plainte.
La CNIL a, au travers d’une procédure simple et efficace sanctionné l’éditeur du site porter-plainte.fr après avoir constaté que l’accès au descriptif des faits était accessible à des tiers non autorisés à accéder aux formulaires contenus dans ces pages. Il suffisait en effet de modifier un numéro présent à la fin des URL.
Le 17 décembre 2016, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été alertée par l’éditeur d’un site web spécialisé dans la sécurité des systèmes d’information de la découverte d’un incident de sécurité sur les sites :
www.passeport-express.org
www.formalite-acte-de-naissance.org
www.demande-non-gage.org
Il était indiqué à la CNIL qu’il était possible d’accéder librement aux données renseignées par les utilisateurs sur les formulaires présents sur ces sites internet, sans processus d’authentification.
Plusieurs délégations de la CNIL ont procédé à des missions de contrôle en ligne.
Au cours des contrôles, les délégations ont suivi le parcours de démarches administratives en renseignant les formulaires présents sur les sites:
www.passeport-express.org ,
www.porter-plainte.fr ,
www.formalite-acte-de-naissance.org ,
www.demande-non-gage.org
www.kbis.pro .
À la fin de chaque démarche, les délégations ont constaté qu’une page récapitulative contenant des données à caractère personnel était affichée ainsi que la présence dans le navigateur des adresses URL suivantes :
https://www.porter-plainte.fr/DemandeActes/add5/9756
https://www.passeport-express.org/demande_actes/recap/48423
https://www.formalite-acte-de-naissance.org/demande_actes/recap/436770
http://www.demande-non-gage.org/DemandeActes/recap/14
http://www.kbis.pro/obtenir
S’agissant des quatre premières adresses URL, les délégations ont constaté qu’en modifiant les derniers numéros, correspondant à l’identifiant attribué à une démarche, les informations renseignées par d’autres utilisateurs du site étaient accessibles. S’agissant du site www.kbis.pro , les vérifications n’ont pas conduit à constater que l’URL contenait un numéro de demande modifiable.
L’absence de système d’authentification des utilisateurs, lors de la démarche en ligne, a ainsi permis à la délégation d’avoir accès notamment aux données d’identification des personnes, ainsi qu’à leur adresse électronique, adresse postale, numéro de téléphone, nom et prénom de leurs parents lorsque la demande portait sur un acte de naissance, ainsi qu’aux descriptifs des faits dans le cadre des dépôts de plainte.
Après avoir rappelé les termes de l’article 34 de la loi du 6 janvier 1978 modifiée qui dispose que : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès , la formation restreinte de la CNIL a décidé de :
1 prononcer à l’encontre de la société WEB EDITIONS une sanction pécuniaire d’un montant de 25.000 (vingt-cinq mille) euros ;
2 rendre publique sa décision, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.
Guillaume BARDON
Avocat Associé
Cabinet CM&B ET ASSOCIES
Barreau de TOURS