En décembre 2016, la Commission nationale de linformatique et des libertés (Cnil) a été informée de lexistence dun incident de sécurité ayant conduit à rendre librement accessibles les données personnelles des utilisateurs de plusieurs sites internet permettant deffectuer des démarches administratives.
Il s’agit de quatre sites édités par la société Web Editions : « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org ».
Les contrôles diligentés par la Cnil en janvier 2017 ont révélé quune fois un formulaire de démarches en ligne renseigné, la simple modification d’un numéro dans ladresse URL de la page récapitulative permettait d’accéder aux pages dautres utilisateurs des différents sites et notamment aux informations quelles contenaient : données didentification, adresse électronique, adresse postale, numéro de téléphone et nom et prénom des parents, lorsque la demande portait sur un acte de naissance, descriptifs des faits dans le cadre des dépôts de plainte.
Si la société a pris, en trois jours, les mesures nécessaires permettant de mettre fin à la violation de données, un contrôle sur place a permis de constater que le défaut identifié résultait de labsence de mise en uvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés.
En conséquence, la formation restreinte de la Cnil a prononcé le 16 novembre 2017 une sanction pécuniaire dun montant de 25.000 , estimant que la société avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites.