Faut-il utiliser HTTPS lorsqu’on traite des données à caractère personnel ?
Oui, les données à caractère personnelles doivent être chiffrées avec HTTPS, car le RGPD demande d’assurer la confidentialité et l’intégrité des données.
« Les données à caractère personnel doivent être […] traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »
En utilisant le protocole non sécurisé HTTP, il n’est pas possible d’apporter la garantie que les données n’aient pas été lues ou modifiées par un tiers. Les éditeurs de sites ou d’applications Web qui traitent des données personnelles ont donc l’obligation de chiffrer les données, en utilisant par exemple HTTPS.
En l’absence d’HTTPS, les éditeurs peuvent être sanctionnés par l’autorité de contrôle. L’autorité italienne de protection de données a, par exemple, déjà sanctionné la société en charge de l’exploitation de l’aéroport de Bologne[1] pour avoir fait transiter des données personnelles avec le protocole non sécurisé HTTP.
« Au cours de l’enquête, il est apparu que l’accès à l’application […] s’est effectué via le protocole HTTP, c’est-à-dire un protocole de réseau qui ne garantit pas l’intégrité et la confidentialité des données échangées entre le navigateur de l’utilisateur et le serveur hébergeant l’application en question, et qui ne permet pas aux utilisateurs de vérifier l’authenticité du site web avec lequel ils interagissent. »
Notes et références
- ↑L’autorité de protection des données italienne, la GPDP, a sanctionné la société en charge de l’exploitation de l’aéroport de Bologne pour avoir fait transiter des données personnelles avec le protocole HTTP. Voir « L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement ».