La Cnil a mis en demeure 15 sites web de prendre des mesures permettant une sécurité adaptée, en raison d’une absence de robustesse du chiffrement de leurs données et une insuffisance de protection des comptes utilisateurs.Dans le cadre d’une de ses thématiques prioritaires de 2021 : "la cybersécurité du web français", la Commission nationale informatique et libertés (Cnil) a réalisé des contrôles sur place et sur pièces de 21 sites français des secteurs privés et publics.
Lors d’un communiqué en date du 8 juillet 2022, la Cnil indique que, pour réaliser les contrôles, elle s’est principalement référée aux recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en matière de sécurité et à sa propre recommandation relative aux mots de passes datant de 2017.Elle a relevé des manquements portant principalement sur l’obligation générale du responsable du traitement de sécuriser les données personnelles, disposée à l’article 32 du règlement n° 2016/679 du 27 avril 2016 (règlement général sur les données personnelles - RGPD).
Ont été relevées des données insuffisamment chiffrées, liées au fait que de nombreux acteurs permettent un accès non sécurisé à leur site web et mettaient en place des versions obsolètes du protocole TLS, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges et les serveurs des sites contrôlés. Par ailleurs, le défaut de dispositifs permettant le traçage des connexions anormales aux serveurs, le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler insuffisamment sécurisées, ont aussi été relevés par la Cnil.
Ces manquements ont amené l’organisme à clore 6 procédures et à mettre en demeure 15 organismes. Ces derniers disposent d’un délai de 3 mois pour prendre les mesures permettant d’assurer un niveau de sécurité adapté.
