En mai 2016, la Cnil a été informée de lexistence dune faille de sécurité entraînant une fuite de données sur le site du Parti Socialiste (PS).
Lors dun premier contrôle en ligne, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes puisqu’elle a pu notamment accéder librement à la plateforme de suivi des primo-adhésions au Parti effectuées en ligne ainsi qu’à des informations privées et confidentielles.
Cette faille avait été rendue possible par lutilisation dune technique non sécurisée dauthentification à la plateforme. Elle a concerné plusieurs dizaines de milliers de primo-adhérents.
Un second contrôle, réalisé dans les locaux du parti en juin 2016, a permis de constater quil nexistait pas de procédure dauthentification forte ni de système de traçabilité permettant didentifier léventuelle exploitation malveillante de la faille. De plus, le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données.
En conséquence, la Présidente de la Cnil a décidé dengager une procédure de sanction en désignant un rapporteur.
La formation restreinte, réunie le 13 octobre 2016, a prononcé un avertissement public, estimant que le Parti Socialiste avait méconnu larticle 34 de la loi Informatique et Libertés ainsi que larticle 6-5 de la même loi et a décidé de le rendre publique en raison de la gravité des manquements constatés, du nombre de personnes concernées par la faille et du caractère particulièrement sensible des données en cause qui permettaient notamment davoir connaissance de leurs opinions politiques.