Les url prédictives une nouvelle fois sanctionnées par la cnil

Le 26 décembre, la Commission Nationale Informatique et Libertés (CNIL) sanctionne une dernière fois pour cette année 2018, à l'amende maximale qu'il lui était possible d'infliger. | Publié le 28 décembre 2018 par Hermann K
Il s'agit cette fois-ci de l'opérateur français de télécommunications Bouygues Télécom, sanctionné pour une violation de données intervenue avant le 25 mai 2018, à l'amende maximale prévue avant le Règlement Général sur la Protection des Données (RGPD), soit 250 000 € d'amende.

UNE URL PRÉDICTIVE DE NOUVEAU IMPLIQUÉE

Si la CNIL a peu souvent sanctionné les opérateurs de télécommunication, elle a cependant souvent sanctionné des organismes pour des violations de données dont la cause se trouvait être des URL prédictive.

Une URL est l'adresse d'un site Internet ou d'une page, par exemple, https://www.datanaos.com

Cette URL est considérée comme "prédictive" lorsqu'il est facile pour un utilisateur de déterminer les URL de différentes pages d'un site sans s'y connecter avant.

Si cela n'est pas embêtant dans la grande majorité des cas, ces URL, qu'il est possible de deviner, posent problème lorsque certaines mesures de sécurité informatiques ne sont pas correctement paramétrées ou n'existent pas.

Par exemple, le 27 septembre 2018, la CNIL sanctionnait une association gestionnaire d'une école d'enseignement supérieur privé, parce-qu'il était possible, sur son site Internet, de modifier des numéros présents dans les URL des pages du site pour accéder aux données à caractère personnel d'étudiants.

Le 28 juin 2018, c'était une association d'aide au logement qui était sanctionnée. Là encore, il était possible, en modifiant quelque peu les URL de certaines pages du site Internet de l'association, d'accéder aux informations personnelles que les demandeurs d'aide saisissaient sur le site.

UNE SANCTION FORTE

Pour certains, cette sanction, la plus onéreuse prévue sous l'empire de l'ancienne loi Informatique et Libertés, sera considérée comme méritée, en ce que la faille de sécurité causée par cette URL prédictive, et un défaut de sécurité complémentaire, aurait durée 2 ans.

Pour d'autres, cette sanction sera plutôt perçue comme un message fort de la part de la CNIL, qui, malgré la prise en compte de notification réalisée par Bouygues Télécom lui-même et de sa réactivité, décide de rappeler, en infligeant la peine maximale possible au moment des faits, que nous ne sommes plus sous l'ère de l'ancienne loi Informatique et Libertés, mais sous l'ère du RGPD, ce dernier renforçant les droits des personnes concernées, et les sanctions possibles en cas de violation du règlement.

POUR EN SAVOIR PLUS :
Site officiel de la CNIL
Un incident informatique survenu sur le site caf.fr ce dimanche 10 octobre à partir de 21 heures a conduit à ce que certains dossiers d'allocataires … | 12 octobre 2021
La plateforme de streaming spécialisée dans les jeux vidéo vient de subir une fuite de données massive dont les conséquences sont encore difficilement mesurables. | 07 octobre 2021
Le géant du web se voit condamné à une amende sans précèdent de 746 millions d'euros pour non respect du RGPD. | 04 août 2021