[Kitetoa, les pizzaïolos du Ouèb

Le KiteCompteur de la CNIL

Qu'aucun adhérent de l'UMP ou du PS ne souhaite faire un procès son parti (pour ne pas avoir protégé les données personnelles), cela est compréhensible. Qu'aucune entreprise citée dans la rubrique « le monde fou, fou, fou des admins, n'ait jamais été inquiétée alors qu'il existe un texte très précis, un peu moins. Que la CNIL ne se soit jamais sentie concernée par ces articles, encore moins.

Dans le cadre de notre article sur les adhérents de l'UMP et du PS, nous avons sollicité l'avis officiel de la CNIL, étant entendu que celle-ci s'était fendue d'une délibération en octobre 2006 sur ce sujet précis.

Elle disait:

« Les conditions de sécurité, d'accès et de communication des données traitées par les partis ou groupements à caractère politique, les élus ou les candidats

La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
La Commission appelle l'attention des élus, candidats, partis ou groupements à caractère politique sur le respect de cette obligation, en particulier au regard de la nature sensible des données collectées.

  • Ainsi, la Commission recommande que l'accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. En effet, eux seuls peuvent, dans le cadre de leur fonction au plan national ou local, légitimement y prétendre, aux côtés des personnels administratifs habilités à gérer ces traitements.
    Les conditions de ces accès devraient être précisées dans les statuts du parti ou du groupement à caractère politique.
  • Les accès individuels aux traitements devraient être garantis, par exemple, par l'attribution d'un identifiant et d'un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification.
  • La transmission, à des fins de communication politique, de la liste des adhérents à un candidat à une élection interne à un parti politique est possible sous réserve que ce dernier s'engage à ne pas en faire un usage autre. En cas d'organisation d'une élection interne par vote électronique, la Commission préconise le respect des dispositions de sa recommandation en date du 1er juillet 2003.
  • L'utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s'accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier. »

Initialement, la CNIL devait nous rappeler. En attendant cette réponse, nous avions repoussé la publication de notre article. Sans réponse de sa part, nous l'avons contactée à nouveau. Mais les membres de la CNIL ayant trop de travail pour prendre 10 minutes pour nous parler, nous avons décidé de publier et avons demandé à être rappelés pour modifier si besoin notre article. Toujours sans retour de la CNIL nous l'avons recontactée. Nous attendons toujours une position officielle.

Rien ne dit que nous la connaîtrons un jour. Le contraire est vrai également me direz-vous. En attendant cet hypothétique avis de la CNIL, nous créons un compteur spécial:

Cela fait aujourd'hui 22 jours que nous avons sollicité (sans succès) la CNIL pour un avis officiel à la suite de l'article publié par le Canard Enchaîné sur les données personnelles des adhérents de l'UMP et du PS.




Update du 5 février 2007:

22 jours. C'est le temps nécessaire à la CNIL pour répondre à cette simple question: « quelle est la position officielle de la CNIL après l'article publié dans le Canard Enchaîné expliquant que les données personnelles de dizaines de milliers d'adhérents étaient accessibles sur le Web avec un simple navigateur? ».

Il aura fallu de très nombreuses relances téléphoniques pour déclencher un sursaut de l'organisme sensé faire régner un peu d'ordre dans ce domaine. Le délai est un peu plus long que pour retrouver un scooter volé (une dizaine de jours). Pas de tests ADN en revanche puisque la CNIL ne compte visiblement pas sanctionner les partis indélicats.

Le juriste de la CNIL qui a finalement trouvé quelques minutes à nous accorder explique que l'organisme est engagé dans des discussions avec les partis depuis un moment sur ce sujet. L'idée étant de les pousser à améliorer leur gestion des fichiers adhérents. Ce que l'on savait déjà puisque la CNIL a pondu une délibération en octobre 2006 sur ce sujet précis.

Si la CNIL reconnaît l'infraction de l'UMP et du PS, elle souligne qu'elle n'a pas été saisie d'une plainte. Ce qui ne l'a toutefois pas empêchée d'interroger les partis sur le problème soulevé par le Canard Enchaîné et de leur rappeler leurs devoirs de protection des données.

Et attention, si les réponses apportées par les partis ne sont pas satisfaisantes, la CNIL ne s'interdit pas de les sanctionner. D'ailleurs, souligne le juriste, la CNIL a déjà sanctionné un parti politique.

Pour quelle faute? Mystère, ce n'est pas public. Circulez!

On en est réduit à déduire que la faute de ce parti était très sérieuse puisque pour avoir laissé filer 125.000 et environ 70.000 fiches d'adhérents, l'UMP et le PS ne seront à priori pas sanctionnés.

Mais passons en revue la délibération d'octobre 2006 de la CNIL...

« La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès ».

Sur ce point, il est clair que ni le PS ni l'UMP n'avaient fait ce qu'il fallait.

« la Commission recommande que l'accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. »

Là non plus, les deux principaux partis ne sont pas tout à fait en règle.

« L'utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s'accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier. » 

Pour ce qui est de la cryptographie, ou la mise en place de mots de passe évoquée ailleurs, l'UMP et le PS ont quelque peu merdouillé. Mais de là, pour la CNIL, à faire usage de son nouveau droit de sanction, il y a un pas qu'il ne faudrait pas non plus franchir sans bien y réfléchir.

De fait, l'organisme est généralement prudent. En témoignent les contorsions pour se sortir du bourbier du Sarkospam.

Kitetoa

k-version: 5.0