Plusieurs centaines de données appartenant à des administrés de la ville de Marseille en accès libre sur la toile.
Voilà plusieurs semaines que nous tentons de joindre un élu de la commune de Marseille, plus précisément ayant en charge les 11ème et 12ème arrondissements. Il a été découvert, via le moteur de recherche Google, une base de données d’administrés ayant écrit à l’administration territoriale. Le problème est que le moteur de recherche américain a intercepté les données et les propose sous forme de deux référencements : le classique, via la barre dédiée et via le cache du géant informatique.
Parmi les données, il est possible de consulter les identités, les adresses postales, les numéros de téléphone, les adresses eMails, les âges et les messages envoyés par les Phocéens à leur Mairie. Autant dire que le contenu des messages est privé, voire très privé, touchant la vie privée (ou de leurs voisins, NDR) des internautes. Nous n’expliquerons pas comment accéder à ces données. Nous tenons à disposition de la Mairie de Marseille [téléphone à droite de cette page, NDR] les mots clés qui permettent d’accéder, via Google, à ces informations.
Une affaire qui, sur le papier, peut coûter cher au fautif. La loi informatique et liberté (CNIL) puni ce type de fuite d’informations nominatives de sanctions pouvant atteindre 5 ans d’emprisonnement et 300 000 € d’amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu’un seul administré inclus dans cette liste dépose plainte, auprès de la CNIL, à l’encontre de la commune.
En matière de fuite de données, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète.
En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité (cf. l’article 7, visant à renforcer l’article 34 de la loi informatique et libertés).
Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé “Amendement ZATAZ” transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.