Les organismes mis en demeure ont trois mois pour se mettre en conformité.
Ce sont 21 organismes qui ont été contrôlés dans le cadre de la thématique prioritaire sur la cybersécurité du web français, de la Commission nationale informatique et liberté (CNIL) en 2021. Et tous, sans exception, ont été épinglés. « L’ensemble des vérifications faites par la CNIL l’a amenée à clore six procédures et à mettre en demeure quinze organismes », détaille le communiqué. Les clôtures sont des manquements de « faible gravité », et consistent en l’envoi d’un courrier aux responsables susceptibles de mettre en place les mesures de corrections « afin de se conformer totalement au RGPD », remarque la Cnil.
Trois mois pour se mettre en conformité
Plus grave, les mises en demeure « portent sur des pratiques non conformes à des points de sécurité importants, rendant les organismes vulnérables à des attaques informatiques », indique la Cnil. Les manquements relevés portent sur l’obligation de sécurisation des données personnelles traitées, correspondant à l’’article 32 du RGPD.
Lors de ses contrôles, la commission a relevé des manquements dans le chiffrement des données. Elle a constaté que de nombreux acteurs offraient un accès non-sécurisé (http), et déployaient des versions obsolètes du protocole TLS censé assurer la sécurité des données en transit.
Ce sont aussi certains comptes utilisateurs insuffisamment protégés. Défaut de dispositifs afin de tracer les connexions anormales aux serveurs ; recours à des mots de passe insuffisamment forts ; ou des procédures de renouvellement de ceux-ci « ne sécurisant pas suffisamment leur transmission et leur conservation ».
Les organismes concernés ont trois mois pour se mettre en conformité. Leur identité n'a pas été révélée. Ils regroupent néanmoins des communes, centres hospitaliers universitaires, ministères, plateformes de e-commerce… tous contrôlés directement en ligne et sur la base de documents transmis.