Bonjour,
J'ai découvert par hasard sur Google une page web listant les membres d'une association sportive en format JSON. Cette page référencée par Google concerne plusieurs milliers d'adhérents, et pour chaque adhérent, elle indique le prénom, le nom, la date de naissance, et le numéro adhérent. J'ai remarqué qu'il y a pas mal de mineurs concernés.
J'ai bien entendu immédiatement envoyé un email à l'association concernée en l'invitant à se mettre en rapport avec leur prestataire informatique, il y a de cela maintenant un peu plus d'une semaine. Je les ai aussi invité à contacter la CNIL s'il voulait des détails sur l'importance de la sécurité des données, et me contacter moi-même pour plus d'éclaircissement. Sans réponse pour le moment (malheureusement, ayant déjà vécu une situation similaire avec un autre site, je ne me fais pas trop d'illusions...).
Je pense attendre encore une semaine pour éventuellement contacter la CNIL, mais avant de le faire, j'aimerais des avis externes sur la nécessité de le faire.
Pourquoi le faire ?
-Fuite de données, cela paraît normal vis-à-vis des personnes concernées d'œuvrer pour faire corriger cette faille de sécurité.
-C'est la responsabilité de l'association d'assurer la sécurité de ses données
-Je n'ai pas tenté de trouver d'autres failles de sécurité (pour ne pas être dans l'illégalité), j'ai néanmoins tenté de regarder si d'autres pages de ce type étaient indexées sur Google pour cette association, je n'ai rien trouvé. Cependant, en regardant le site de l'association, j'ai découvert qu'elle disposait d'une application pour l'inscription. La procédure décrite sur le site web indique que les utilisateurs doivent rentrer une photographie d'identité et un questionnaire de santé pour les mineurs ou un certificat médical. Si l'association ne fait pas grand cas de la sécurité des données de ses membres, ce type de données peut aussi être mal protégé.
-L'association semble disposer de moyens pour corriger cette faille.
Pourquoi ne pas le faire ?
-Est-ce que la fuite de données que j'ai découverte est si grave que cela ?
-Je n'ai aucune preuve d'un manquement en terme de sécurité pour les photographies et les données de santé.
-Je peux comprendre que gérer une association sur son temps libre n'est pas forcément évident. Je n'ai pas envie de les ennuyer pour quelque chose qui pourrait être mineur.
Pour le moment, je tends plutôt vers le signalement si je n'ai pas de retour d'ici la fin de la semaine prochaine.
Merci pour vos réponses !
Partager