En mai 2022, le site dédié à la presse du ministère de la Justice, « PRESSE.JUSTICE.GOUV.FR », proposait un formulaire permettant aux journalistes de s’inscrire pour « recevoir l’ensemble des informations presse (discours, communiqués, agendas...) ».

Ce formulaire, qui demandait de saisir obligatoirement son nom et prénom, adresse électronique, média et numéro de téléphone, était accessible uniquement avec le protocole HTTP.

Une plainte a été déposée à la CNIL pour demander notamment que le ministère prenne des mesures de sécurité appropriées pour garantir la confidentialité et l’intégrité des données collectées et que les personnes concernées soient informées que leurs données à caractère personnel ont pu être, ou ont été, interceptées ou altérées par des tiers. La Commission a répondu, quatorze mois plus tard, que le site n’est plus accessible et qu’il redirige désormais vers « https://www.justice.gouv.fr/espace-presse disposant du protocole HTTPS ».

Chronologie des événements :

  • Le 25/02/2022, un message a été envoyé au DPO du ministère de la Justice, pour l’alerter.
  • Le 25/03/2022, un message à été reçu du DPO du ministère de la Justice pour « remercie[r] de [lui] avoir signalé ce point qui fait l’objet d’une mesure de remédiation en lien avec les services compétents du ministère ».
  • Le 28/05/2022, une plainte a été déposée à la CNIL (réf. 28-7999) pour demander que (i) le ministère prenne des mesures de sécurité appropriées pour garantir la confidentialité et l’intégrité des données collectées, et que (ii) les personnes concernées soient informées que leurs données à caractère personnel ont pu être, ou ont été, interceptées ou altérées par des tiers.
  • Le 02/08/2023, un message a été reçu de la CNIL indiquant qu’« il ressort ensuite des vérifications effectuées par les services de la CNIL que le lien « http://www.presse.justice.gouv.fr/[…]/ » redirige vers « https://www.justice.gouv.fr/espace-presse » disposant du protocole HTTPS » (Voir le message intégral).
Cette action est désormais terminée.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • DPO : Data Protection Officer