Oui, les données à caractère personnelles doivent être chiffrées avec HTTPS[1], car le RGPD[2] demande d’assurer la confidentialité et l’intégrité des données.

« Les données à caractère personnel doivent être […] traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »

— RGPD, article 5-1-f, principes relatifs au traitement des données à caractère personnel

En utilisant le protocole non sécurisé HTTP, il n’est pas possible d’apporter la garantie que les données n’aient pas été lues ou modifiées par un tiers. Les éditeurs de sites ou d’applications Web qui traitent des données personnelles ont donc l’obligation de chiffrer les données, en utilisant par exemple HTTPS.

En l’absence d’HTTPS, les éditeurs peuvent être sanctionnés par l’autorité de contrôle. L’autorité de protection de données italienne, la GPDP[3], a, par exemple, déjà sanctionné la société en charge de l’exploitation de l’aéroport de Bologne[4] pour avoir fait transiter des données personnelles avec le protocole non sécurisé HTTP.

« Au cours de l’enquête, il est apparu que l’accès à l’application […] s’est effectué via le protocole HTTP, c’est-à-dire un protocole de réseau qui ne garantit pas l’intégrité et la confidentialité des données échangées entre le navigateur de l’utilisateur et le serveur hébergeant l’application en question, et qui ne permet pas aux utilisateurs de vérifier l’authenticité du site web avec lequel ils interagissent. »

Notes et références

  1. Le fonctionnement du protocole HTTPS est expliqué dans l’article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. GPDP : Garante per la Protezione dei Dati Personali (garanteprivacy.it).
  4. L’autorité de protection des données italienne, la GPDP, a sanctionné la société en charge de l’exploitation de l’aéroport de Bologne pour avoir fait transiter des données personnelles avec le protocole HTTP. Voir « L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement ».