C'est un fait : le PS ne maîtrise l'outil qu'est internet. La Cnil a adressé un "avertissement" au Parti socialiste après avoir constaté une "faille de sécurité" sur son site Internet. Une faille qui permettait d'avoir accès aux données d'identification de plusieurs dizaines de milliers d'adhérents:
"Les contrôleurs de la CNIL ont en effet pu accéder librement, par la saisie d’une URL, à la plateforme de suivi des primo-adhésions au Parti Socialiste effectuées en ligne. Ils ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents.
Cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme. Elle a concerné plusieurs dizaines de milliers de primo-adhérents.
Alerté le même jour par la CNIL de cette faille, le PS a immédiatement pris les mesures nécessaires pour y mettre fin.
Un second contrôle réalisé cette fois dans les locaux du PS le 15 juin 2016, destiné à comprendre les raisons de la faille, a permis de constater que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement. En effet, il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.
Le contrôle a aussi permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.
En conséquence, la Présidente de la CNIL a décidé d’engager une procédure de sanction en désignant un rapporteur. La formation restreinte de la CNIL a prononcé un avertissement public car elle a estimé que le Parti Socialiste avait manqué à ses obligations :
- de veiller à la sécurité des données à caractère personnel des primo-adhérents, en méconnaissance de l’article 34 de la loi Informatique et Libertés ;
- de fixer une durée de conservation des données proportionnelle aux finalités du traitement en méconnaissance de l’article 6-5 de la loi Informatique et Libertés."