On connaissait la Cnil intransigeante sur la protection des données personnelles définie par le RGPD, elle s’intéresse désormais à la sécurisation informatique des sites web avant même qu’il y ait eu une quelconque violation de données. La Cnil a mis en demeure 15 sites web qu’elle considère comme étant insuffisamment sécurisés. Il leur est reproché des défauts de chiffrement des données en transit ou de sécurisation de comptes d’utilisateurs. Ces organismes se sont vu octroyer un délai de 3 mois pour prendre les mesures permettant d’assurer un niveau de sécurité adapté.
Un contrôle technique et organisationnel
La Cnil indique que ses vérifications ont essentiellement porté sur des points techniques et organisationnels. Le premier point contrôlé est le chiffrement des données ou plutôt la transmission chiffrée des données. La Cnil estime que les données sont insuffisamment chiffrées. La Cnil relève que de nombreux acteurs permettaient un accès non sécurisé, c’est à dire en http à leur site web, et mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit. Ils utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites qui ont été contrôlés par la Cnil.
Le second point concerne la protection des comptes des utilisateurs. La Cnil a constaté l’absence de dispositifs permettant de tracer les connexions anormales aux serveurs. Concernant la sécurisation de l’accès aux comptes des utilisateurs, la CNIL a notamment relevé le recours à des mots de passe insuffisamment robustes. Quant aux procédures permettant de renouveler ces mots de passe, elles ne sécurisaient pas suffisamment leur transmission ni leur conservation.
Decathlon affiche les vulnérabilités de son site e-commerce
La cybersécurité du web français prioritaire
La Cnil avait fait de « la cybersécurité du web français » une thématique prioritaire de 2021. Dès lors, la Cnil a contrôlé 21 organismes. Quinze ont été mis en demeure. La Cnil a effectué ses contrôles via internet et à partir de documents transmis, auprès de 21 sites web d’organismes français du secteur public, de type communes, centres hospitaliers universitaires, ministères et du secteur privé, des plateformes de e-commerce ou des prestataires de solutions informatiques.
La Cnil procède à ce type de contrôle car les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles, et sont susceptibles de conduire à des violations de données personnelles. A l’issue des contrôles, la Cnil a clôturé six procédures car les manquements constatés étaient de faible gravité. La Cnil a alors transmis un courrier alertant les responsables de traitement sur les mesures à mettre en œuvre afin de se conformer totalement au RGPD.
Obligation de sécuriser les données personnelles
Quant aux 15 mises en demeure, elles portent sur des pratiques non conformes à des points de sécurité importants, rendant les organismes vulnérables à des attaques informatiques, estime la Cnil. La Cnil indique que les manquements relevés portent sur l’obligation générale du responsable de traitement de sécuriser les données personnelles traitées (article 32 du RGPD).
La Cnil déclare se référer aux recommandations de l’ANSSI (Agence Nationale de la Sécurité des systèmes d’information) en matière de sécurité. Il s’agit en particulier, pour le secteur public, du référentiel général de sécurité (RGS). Celui-ci fixe les règles que les téléservices mis en place par des administrations doivent obligatoirement respecter pour assurer la sécurité des informations échangées. La Cnil déclare qu’elle s’est également appuyée sur sa recommandation relative aux mots de passe de 2017, actuellement en cours de mise à jour et soumis à consultation publique.
