Plainte CNIL n° 28-2439

Organisme mis en cause : Sénat
Numéro et voie : 15 Rue de Vaugirard
Code postal : 75006
Commune : Paris
Pays : France

Dans le cadre de mes travaux, j’ai été amené à étudier le site du Sénat français (senat.fr). Ce dernier présente de graves problèmes de sécurité : 1/ Le site est accessible par le protocole non-sécurisé HTTP ; 2/ Les mots de passe des utilisateurs ne sont pas chiffrés.

Je vous ai déjà alerté dans un e-mail séparé le 30/10/2020, auquel vous avez répondu le 12/03/2021, référence CNIL-115573-1606749011. Vous m’avez notamment informé qu’il était possible de porter plainte et que cela vous permettrait d’intervenir et de mettre fin à ces pratiques qui mettent en danger les internautes.

Pouvez-vous SVP intervenir et demander au Sénat de sécuriser son site Internet pour que les internautes puissent avoir la certitude que les pages issues du site Senat.fr soient transmises de façon sécurisée.

Pouvez-vous aussi demander au Sénat à ce que les mots de passe et toutes les informations personnelles contenues dans l’espace personnel soient considérées comme potentiellement dérobées, en l’absence de chiffrement, et que les utilisateurs soient informés.

Je vous joins tous les détails de l’incident, le détail de mes démarches et le contenu de mes demandes.

Pièce jointe 1 : plainte-cnil-senat.txt

25/03/2021 18:27 : Demande reçue

Prenez quelques minutes pour nous faire part de vos remarques sur ce nouveau service en ligne.

Cet avis ne sera pas lié au traitement de votre demande.

30/03/2021 15:47 : Plainte en cours de traitement

30/03/2021 15:47 : Information

Monsieur,

Vous avez porté à l’attention de la Commission, des défauts de sécurité que vous auriez constatés sur le site web du SENAT.

Nous vous confirmons procéder à l’instruction de votre plainte et ne manquerons pas de vous faire part des suites qui y seront données.

Nous vous prions d’agréer, Monsieur, l’expression de nos salutations distinguées.

15/02/2023 17:28 : Information

Monsieur,

Vous avez adressé une réclamation à la Commission nationale de l’informatique et des libertés (CNIL) relative à la sécurité et à la confidentialité des données des utilisateurs du site web www.senat.fr édité par le Sénat.

Vous nous indiquez, d’une part, que le site est accessible par le protocole non-sécurisé HTTP, et d’autre part, que les mots de passe des utilisateurs ne sont pas chiffrées.

En premier lieu, s’agissant des mots de passe des utilisateurs qui seraient transmis sans chiffrement, il apparait que l’espace « Mon Sénat » auquel vous faites référence dans votre réclamation n’existe plus.

Interrogé sur ce point, le délégué à la protection des données du Sénat nous a confirmé que l’espace « Mon Sénat » avait été supprimé dès novembre 2020, pour ne pas risquer de mettre en péril les données des abonnés. L’ensemble des données à caractère personnel concernées par ce traitement ont été effacées depuis. Aucun accès frauduleux aux données n’a été constaté par le Sénat.

En second lieu, concernant l’utilisation du protocole non-sécurisé HTTP sur le site web précité, y compris sur des pages permettant la transmission de données à caractère personnel, nous vous informons que nous sommes intervenus auprès du délégué à la protection des données du Sénat afin de lui rappeler les dispositions en matière de protection des données et notamment, le principe de sécurité et de confidentialité des données traitées (articles 5 et 32 du règlement général sur la protection des données - RGPD).

Nous lui avons notamment indiqué que la CNIL recommande, dans son guide de la sécurité des données personnelles (accessible à l’adresse https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles), comme précautions élémentaires (fiche n°9) :

- de « mettre en œuvre le protocole TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre » ;

- de « rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques ».

Nous lui avons également précisé que l’utilisation du protocole HTTP non sécurisé ne permet pas de garantir la confidentialité et l’intégrité des données échangées et constitue un manquement à l’article 32 du RGPD.

En réponse, le délégué à la protection des données nous a informé que le Sénat mène actuellement un projet de refonte globale de son site institutionnel dont la mise en ligne devrait être effective en mars 2023 : des mesures de sécurisation des échanges seront déployées conformément aux recommandations de l’ ANSSI (utilisation du protocole TLS 1.2, fonctions de hachage de la famille SHA-2 concernant les suites cryptographiques).

Au regard de ces éléments, l’action menée par la CNIL apparait avoir apporté une réponse appropriée à la situation pour laquelle vous l’avez saisie. En conséquence, il est procédé à la clôture de votre réclamation.

Je vous prie d’agréer, Monsieur, mes salutations distinguées.

[RETIRÉ] - Juriste - Service de l’exercice des droits et des plaintes 2

Sous réserve de l’intérêt pour agir des requérants, les décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de leur notification.

30/05/2023 11:29 : Plainte close

Votre demande a été traitée. Elle sera supprimée de cet espace dans 6 mois.