Atlantico, c'est qui? c'est quoi ?
Lundi 22 Octobre 2018 | Créer un compte | Connexion
Extra

RGPD et HTTPS : ces sites publics qui mettent en danger des sites tiers

Il ne reste plus qu’un mois avant l’entrée en vigueur du règlement général relatif à la protection des données (RGPD). Ce règlement exige que les données personnelles soient traitées "de façon à garantir une sécurité appropriée".

Danger potentiel

Publié le
RGPD et HTTPS : ces sites publics qui mettent en danger des sites tiers

 Crédit PHILIPPE HUGUEN / AFP

A ce titre, le fait d’attribuer un protocole HTTPS (HyperText Transfer Protocol Secure) à un site internet permet, en principe, d’assurer la confidentialité et l’intégrité des données envoyées par le visiteur de ce site. Cette démarche devrait être systématique en vue de l’entrée en vigueur du RGPD. Pourtant, certains sites ministériels ne sont pas encore en HTTPS, ce qui met potentiellement en danger les sites tiers. Explications.

La conformité au RGPD menacée par les sites non HTTPS

Dès lors qu’un site peut traiter des données personnelles, simplement avec la création d’un compte utilisateur, la conformité au RGPD requiert à minima que le site soit protégé par un protocole HTTPS. Ce protocole est une protection a minima que tout gestionnaire de site internet ne peut plus se permettre de ne pas avoir. 

Mais le fait d’intégrer un lien vers un site non HTTPS brise la protection du site initial.

C’est ce qui arrive aujourd’hui avec les sites relevant des ministères du travail et de la santé : le site de la Dares et le site de la Drees sont tous deux non HTTPS.

Nous aurions pu nous attendre à ce que les ministères français soient irréprochables sur ce point, surtout avec l’entrée en vigueur du RGPD le 25 mai prochain. Pourtant, ceux-ci mettent à disposition de tous des flux RSS non sécurisés qui peuvent corrompre les sites tiers qui souhaitent les intégrer. En d’autres termes, les pouvoirs publics proposent un moyen non sécurisé de recevoir et intégrer les informations officielles sur des sites tiers, au risque de nuire à leur sécurité.

Ce manque d’exemplarité devrait être corrigé « courant 2018 » d’après les responsables des sites de la Dares et de la Drees. Encore une marque de légèreté de la part des pouvoirs publics quand on sait que toutes les entreprises sont actuellement sous pression pour leur conformité au RGPD.

Cet article a été initialement publié sur le site Décider & Entreprendre

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Leo Guittet

Leo Guittet est juriste de formation spécialisé en droit privé et droit public de la santé au sein du Master 2 de Jean-Paul Markus à l’Université de Versailles Saint-Quentin-en-Yvelines, très intéressé par le domaine sanitaire, notamment les questions relatives à l’ouverture des bases de données en santé.

Voir la bio en entier

Je m'abonne
à partir de 4,90€