Le 25 janvier 2022, il a été constaté que les sites Web des Préfectures françaises contenaient un formulaire de contact pour permettre aux personnes d’envoyer un message à destination des Préfectures. Trente préfectures collectaient toutefois les données[1] avec le protocole HTTP.

Les Préfectures concernées sont : Préfecture de l’Ain (01), Préfecture de l’Allier (03), Préfecture des Hautes-Alpes (05), Préfecture de l’Ardèche (07), Préfecture des Ardennes (08), Préfecture de l’Aude (11), Préfecture de l’Aveyron (12), Préfecture du Calvados (14), Préfecture du Cantal (15), Préfecture de Corse du Sud (2A), Préfecture de Haute Corse (2B), Préfecture de Côte-d’Or (21), Préfecture de la Drôme (26), Préfecture des Landes (40), Préfecture de la Loire (42), Préfecture de la Haute Loire (43), Préfecture du Lot (46), Préfecture du Lot-et-Garonne (47), Préfecture de la Maine-et-Loire (49), Préfecture de la Nièvre (58), Préfecture de l’Orne (61), Préfecture du Puy-de-dôme (63), Préfecture des Hautes-Pyrénées (65), Préfecture de la Saône-et-Loire (71), Préfecture de la Sarthe (72), Préfecture du Tarn (81), Préfecture du Var (83), Préfecture du Vaucluse (84), Préfecture de la Vendée (85) et Préfecture de la Réunion (974).

Le ministère de l’Intérieur a été alerté. Une plainte a également été déposée à la CNIL, qui a « rappelé la réglementation applicable au ministère de l’Intérieur ».

Ce rappel à l’ordre n’ayant pas eu de conséquences, une seconde plainte a été déposée à la CNIL. Le protocole HTTPS a finalement été déployé sur les sites des Préfectures six moi après la signalement initial.

Chronologie des événements :

  • le 25/01/2022, un e-mail a été envoyé au Délégué à la Protection des Données (DPO) du ministère de l’Intérieur, et aux Préfectures concernées, lorsqu’une adresse e-mail spécifique était indiquée sur leur site Web.
  • le 25/02/2022, une des Préfectures a envoyé un e-mail pour indiquer qu’un avertissement est présent sur la page de contact. Un e-email a été envoyé en réponse pour indiquer qu’un avertissement n’est pas une mesure permettant de garantir la confidentialité des données.
  • le 02/02/2022, un e-mail de rappel a été envoyé au DPO du ministère de l’Intérieur.
  • le 03/02/2022, un e-mail a été reçu du DPO du ministère pour indiquer que la résolution est en cours et qu’un message sera envoyé lorsque le problème sera résolu.
  • le 25/02/2022, une plainte a été déposée à la CNIL (réf. 28-6912).
  • le 16/03/2022, la CNIL a clôturé la plainte en indiquant avoir « rappelé la réglementation applicable au ministère de l’Intérieur » (réf. GDR/CLA222499).
  • le 28/05/2022, une seconde plainte a été déposée à la CNIL (réf. 28-7998), car aucune modification n’a été constatée.
  • le 30/06/2022, un message a été reçu de la CNIL indiquant être « intervenue auprès du délégué à la protection des données (DPO) de cet organisme afin d’obtenir des explications de sa part sur les faits […] relatés ».
  • le 10/07/2022, il a été constaté que HTTPS avait été déployé sur les sites des Préfectures.
  • le 25/08/2022, un message a été reçu de la CNIL indiquant que « les modifications avaient été opérées afin que les sites concernés […] utilisent désormais le protocole HTTPS ». La plainte a également été clôturée.

Notes et références

  1. Les données collectées par les formulaires étaient : le nom de la personne, le prénom, l’adresse électronique, l’adresse postale, le numéro de téléphone ainsi que le sujet et le contenu de son message.