Le KiteCompteur de la CNIL
Qu'aucun adhérent de l'UMP ou du PS ne souhaite faire un procès son parti (pour ne pas avoir protégé les données personnelles), cela est compréhensible. Qu'aucune entreprise citée dans la rubrique « le monde fou, fou, fou des admins, n'ait jamais été inquiétée alors qu'il existe un texte très précis, un peu moins. Que la CNIL ne se soit jamais sentie concernée par ces articles, encore moins.
Dans le cadre de notre article sur les adhérents de l'UMP et du PS, nous avons sollicité l'avis officiel de la CNIL, étant entendu que celle-ci s'était fendue d'une délibération en octobre 2006 sur ce sujet précis.
Elle disait:
« Les conditions de sécurité, d'accès et de communication des données traitées par les partis ou groupements à caractère politique, les élus ou les candidats
La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
La Commission appelle l'attention des élus, candidats, partis ou groupements à caractère politique sur le respect de cette obligation, en particulier au regard de la nature sensible des données collectées.
Les conditions de ces accès devraient être précisées dans les statuts du parti ou du groupement à caractère politique.
Initialement, la CNIL devait nous rappeler. En attendant cette réponse, nous avions repoussé la publication de notre article. Sans réponse de sa part, nous l'avons contactée à nouveau. Mais les membres de la CNIL ayant trop de travail pour prendre 10 minutes pour nous parler, nous avons décidé de publier et avons demandé à être rappelés pour modifier si besoin notre article. Toujours sans retour de la CNIL nous l'avons recontactée. Nous attendons toujours une position officielle.
Rien ne dit que nous la connaîtrons un jour. Le contraire est vrai également me direz-vous. En attendant cet hypothétique avis de la CNIL, nous créons un compteur spécial:
Cela fait aujourd'hui 22 jours que nous avons sollicité (sans succès) la CNIL pour un avis officiel à la suite de l'article publié par le Canard Enchaîné sur les données personnelles des adhérents de l'UMP et du PS.
Update du 5 février 2007:
22 jours. C'est le temps nécessaire à la CNIL pour répondre à cette simple question: « quelle est la position officielle de la CNIL après l'article publié dans le Canard Enchaîné expliquant que les données personnelles de dizaines de milliers d'adhérents étaient accessibles sur le Web avec un simple navigateur? ».
Il aura fallu de très nombreuses relances téléphoniques pour déclencher un sursaut de l'organisme sensé faire régner un peu d'ordre dans ce domaine. Le délai est un peu plus long que pour retrouver un scooter volé (une dizaine de jours). Pas de tests ADN en revanche puisque la CNIL ne compte visiblement pas sanctionner les partis indélicats.
Le juriste de la CNIL qui a finalement trouvé quelques minutes à nous accorder explique que l'organisme est engagé dans des discussions avec les partis depuis un moment sur ce sujet. L'idée étant de les pousser à améliorer leur gestion des fichiers adhérents. Ce que l'on savait déjà puisque la CNIL a pondu une délibération en octobre 2006 sur ce sujet précis.
Si la CNIL reconnaît l'infraction de l'UMP et du PS, elle souligne qu'elle n'a pas été saisie d'une plainte. Ce qui ne l'a toutefois pas empêchée d'interroger les partis sur le problème soulevé par le Canard Enchaîné et de leur rappeler leurs devoirs de protection des données.
Et attention, si les réponses apportées par les partis ne sont pas satisfaisantes, la CNIL ne s'interdit pas de les sanctionner. D'ailleurs, souligne le juriste, la CNIL a déjà sanctionné un parti politique.
Pour quelle faute? Mystère, ce n'est pas public. Circulez!
On en est réduit à déduire que la faute de ce parti était très sérieuse puisque pour avoir laissé filer 125.000 et environ 70.000 fiches d'adhérents, l'UMP et le PS ne seront à priori pas sanctionnés.
Mais passons en revue la délibération d'octobre 2006 de la CNIL...
« La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès ».
Sur ce point, il est clair que ni le PS ni l'UMP n'avaient fait ce qu'il fallait.
« la Commission recommande que l'accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. »
Là non plus, les deux principaux partis ne sont pas tout à fait en règle.
« L'utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s'accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier. »
Pour ce qui est de la cryptographie, ou la mise en place de mots de passe évoquée ailleurs, l'UMP et le PS ont quelque peu merdouillé. Mais de là, pour la CNIL, à faire usage de son nouveau droit de sanction, il y a un pas qu'il ne faudrait pas non plus franchir sans bien y réfléchir.
De fait, l'organisme est généralement prudent. En témoignent les contorsions pour se sortir du bourbier du Sarkospam.
