Message de la CNIL du 15 février 2023 concernant la plainte n° 28-2439

Monsieur,

Vous avez adressé une réclamation à la Commission nationale de l’informatique et des libertés (CNIL) relative à la sécurité et à la confidentialité des données des utilisateurs du site web www.senat.fr édité par le Sénat.

Vous nous indiquez, d’une part, que le site est accessible par le protocole non-sécurisé HTTP, et d’autre part, que les mots de passe des utilisateurs ne sont pas chiffrées.

En premier lieu, s’agissant des mots de passe des utilisateurs qui seraient transmis sans chiffrement, il apparait que l’espace « Mon Sénat » auquel vous faites référence dans votre réclamation n’existe plus.

Interrogé sur ce point, le délégué à la protection des données du Sénat nous a confirmé que l’espace « Mon Sénat » avait été supprimé dès novembre 2020, pour ne pas risquer de mettre en péril les données des abonnés. L’ensemble des données à caractère personnel concernées par ce traitement ont été effacées depuis. Aucun accès frauduleux aux données n’a été constaté par le Sénat.

En second lieu, concernant l’utilisation du protocole non-sécurisé HTTP sur le site web précité, y compris sur des pages permettant la transmission de données à caractère personnel, nous vous informons que nous sommes intervenus auprès du délégué à la protection des données du Sénat afin de lui rappeler les dispositions en matière de protection des données et notamment, le principe de sécurité et de confidentialité des données traitées (articles 5 et 32 du règlement général sur la protection des données - RGPD).

Nous lui avons notamment indiqué que la CNIL recommande, dans son guide de la sécurité des données personnelles (accessible à l’adresse https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles), comme précautions élémentaires (fiche n°9) :

- de « mettre en œuvre le protocole TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre » ;

- de « rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques ».

Nous lui avons également précisé que l’utilisation du protocole HTTP non sécurisé ne permet pas de garantir la confidentialité et l’intégrité des données échangées et constitue un manquement à l’article 32 du RGPD.

En réponse, le délégué à la protection des données nous a informé que le Sénat mène actuellement un projet de refonte globale de son site institutionnel dont la mise en ligne devrait être effective en mars 2023 : des mesures de sécurisation des échanges seront déployées conformément aux recommandations de l’ ANSSI (utilisation du protocole TLS 1.2, fonctions de hachage de la famille SHA-2 concernant les suites cryptographiques).

Au regard de ces éléments, l’action menée par la CNIL apparait avoir apporté une réponse appropriée à la situation pour laquelle vous l’avez saisie. En conséquence, il est procédé à la clôture de votre réclamation.

Je vous prie d’agréer, Monsieur, mes salutations distinguées.

[RETIRÉ] - Juriste - Service de l’exercice des droits et des plaintes 2

Sous réserve de l’intérêt pour agir des requérants, les décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de leur notification.