Les URL prédictives une nouvelle fois sanctionnées par la CNIL

Le 26 décembre, la Commission Nationale Informatique et Libertés (CNIL) sanctionne une dernière fois pour cette année 2018, à l'amende maximale qu'il lui était possible d'infliger. 

Il s'agit cette fois-ci de l'opérateur français de télécommunications Bouygues Télécom, sanctionné pour une violation de données intervenue avant le 25 mai 2018, à l'amende maximale prévue avant le Règlement Général sur la Protection des Données (RGPD), soit 250 000 € d'amende. 

Une URL prédictive de nouveau impliquée

 

Si la CNIL a peu souvent sanctionné les opérateurs de télécommunication, elle a cependant souvent sanctionné des organismes pour des violations de données dont la cause se trouvait être des URL prédictive. 

 

Une URL est l'adresse d'un site Internet ou d'une page, par exemple, https://www.datanaos.com

Cette URL est considérée comme "prédictive" lorsqu'il est facile pour un utilisateur de déterminer les URL de différentes pages d'un site sans s'y connecter avant. 

Si cela n'est pas embêtant dans la grande majorité des cas, ces URL, qu'il est possible de deviner, posent problème lorsque certaines mesures de sécurité informatiques ne sont pas correctement paramétrées ou n'existent pas. 

 

Par exemple, le 27 septembre 2018, la CNIL sanctionnait une association gestionnaire d'une école d'enseignement supérieur privé, parce-qu'il était possible, sur son site Internet, de modifier des numéros présents dans les URL des pages du site pour accéder aux données à caractère personnel d'étudiants. 

Le 28 juin 2018, c'était une association d'aide au logement qui était sanctionnée. Là encore, il était possible, en modifiant quelque peu les URL de certaines pages du site Internet de l'association, d'accéder aux informations personnelles que les demandeurs d'aide saisissaient sur le site. 

 

Une sanction forte

 

Pour certains, cette sanction, la plus onéreuse prévue sous l'empire de l'ancienne loi Informatique et Libertés, sera considérée comme méritée, en ce que la faille de sécurité causée par cette URL prédictive, et un défaut de sécurité complémentaire, aurait durée 2 ans. 

 

Pour d'autres, cette sanction sera plutôt perçue comme un message fort de la part de la CNIL, qui, malgré la prise en compte de notification réalisée par Bouygues Télécom lui-même et de sa réactivité, décide de rappeler, en infligeant la peine maximale possible au moment des faits, que nous ne sommes plus sous l'ère de l'ancienne loi Informatique et Libertés, mais sous l'ère du RGPD, ce dernier renforçant les droits des personnes concernées, et les sanctions possibles en cas de violation du règlement. 

 

Pour en savoir plus :

https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients