La Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné mercredi la société WEB ÉDITION de 25 000 euros pour manquements à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites, conformément à l’article 34 de la loi Informatique et Libertés.
La société possède quatre sites web d’aide aux démarches administratives :
https://www.passeport-express.org/
https://www.porter-plainte.fr/
http://www.formalite-acte-de-naissance.org/
http://www.demande-non-gage.org/
Alertée en 2016 de l’existence d’un incident de sécurité ayant conduit à rendre librement accessibles les données personnelles des utilisateurs de plusieurs sites internet permettant d’effectuer des démarches administratives, la CNIL avait diligenté des contrôles en janvier 2017.
Ses contrôleurs ont pu vérifier qu’on pouvait accéder aux pages d’autres utilisateurs par simple manipulation des URL, et notamment aux informations qu’elles contenaient :
- Données d’identification,
- Adresse électronique,
- Adresse postale,
- Numéro de téléphone,
- Nom et prénom des parents lorsque la demande portait sur un acte de naissance,
- Descriptifs des faits dans le cadre des dépôts de plainte.
Un contrôle sur place a été réalisé, en février 2017, dans les locaux de la société. Il a permis de constater que le défaut identifié résultait de l’absence de mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés.
Cette violation a eu un impact sur les données de plusieurs milliers de personnes, certaines relevant de l’intimité de la vie privée des utilisateurs des sites, ainsi que celle de tierces personnes visées dans les plaintes déposées en ligne et dans les demandes d’actes de naissance.
Pour le montant de la sanction, la CNIL a tenu compte de la taille de la société et de sa réactivité de la société dans la résolution de l’incident de sécurité, de sa bonne coopération avec ses services.