En 2021, la CNIL avait fait de la sécurité des sites internet français une de ses priorités d'action. Elle a donc procédé à des contrôles en ligne, le cas échéant sous une identité d'emprunt, et sur pièces, sur 21 sites.

En 2022 la CNIL continue de s’intéresser de près à la cybersécurité des sites web. La preuve en est que la CNIL a mis en demeure 15 sites web français de mettre en confirmé leurs mesures avec les points de sécurité importants, qu’elle détaille dans ses bonnes pratiques.

Il s’agit d’une décision inédite, puisque les mises en demeure ont été prononcées alors qu’aucune violation de données n’a été constatée.

La CNIL s’inscrit ici dans une démarche de prévention des risques, et cherche à alerter l’opinion publique et les entreprises sur l’importance que revêt la sécurité des sites internet.

En effet, selon le rapport d’activité publié en début d’année 2022, l’année 2021 a permis à la CNIL de prendre conscience des enjeux liés à la Cybersécurité. Plusieurs facteurs l’y ont poussée :

- Une augmentation de 79% des notifications de violation de données par rapport à 2020, portant le total à 5037 notifications annuelles ce qui représente 14 plaintes chaque jour;

- 43 % de ces plaintes concernent une violation issue d’une attaque par rançongiciel ;

- Plus de la moitié des sanctions prononcées par la CNIL en 2021 concernent des manquements à l’obligation de sécurité prévue par les textes.

Les motifs invoqués par la CNIL

A- Des manquements récurrents aux principes élémentaires de sécurité informatique

Les quinze sites internet rappelés à l’ordre ont tous présenté des défauts de sécurité majeurs. Il convient de rappeler qu’en vertu de l’article 32 du RGPD, la sécurisation des données est une obligation du responsable de traitement.
Par référence aux recommandations de l’ANSSI, la CNIL a identifié deux principaux axes d’amélioration :

a- défaut de chiffrement des données :

Les sites épinglés par la CNIL offraient un accès non sécurisé à leur service et n’appliquaient pas correctement le protocole TLS (Transport Layer Security), qui permet une sécurisation des échanges. Au surplus, les organismes utilisaient des clés de chiffrement obsolètes et insuffisamment robustes.

b- Une mauvaise protection des comptes utilisateurs

La CNIL a mis en évidence, auprès des quinze sites litigieux, l’absence de dispositifs techniques qui permettent de tracer les connexions suspectes entre les serveurs dans la gestion des comptes utilisateurs. La Commission constate également un manque de dispositifs techniques visant à valider, proposer et renouveler des combinaisons de mots de passe robustes.

Les sites internet mis en évidence, auprès des quinze sites litigieux, l’absence de dispositifs techniques qui permettent de tracer les connexions suspectes entre les serveurs dans la gestion des comptes utilisateurs. La Commission constate également un manque de dispositifs techniques visant à valider, proposer et renouveler des combinaisons de mots de passe robustes.

Les sites internet mis en demeure doivent prendre les mesures nécessaires pour se mettre en conformité avec les niveaux de sécurité adaptés, dans un délai de trois mois.


En guise de conclusion, on peut dire que cette vague de mises en demeure témoigne une fois de plus de liens étroits qui existent entre l’ANSSI et la CNIL. A titre illustratif, la CNIL s’appuie directement sur les recommandations délivrées par l’ANSSI en matière de sécurité informatique au cas présent.

Pour le secteur public, elle affirme également mettre à jour sa recommandation de 2017 relative à la sécurité des mots de passe pour tenir compte des dernières recommandations de l’ANSSI du mois d’octobre 2021.