L'anomalie informatique permettait d'accéder aux «nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents», a précisé la Cnil dans un communiqué.
«Cette faille avait été rendue possible par l'utilisation d'une technique non sécurisée d'authentification à la plateforme» de suivi des primo-adhésions, a précisé la Cnil, qui avait été alertée par l'éditeur du site zataz.com, spécialiste en sécurité informatique.
«Elle a concerné plusieurs dizaines de milliers de primo-adhérents», a encore indiqué la Commission, qui a constaté que «les mesures élémentaires de sécurité n'avaient pas été mises en œuvre» par le PS.
Au lendemain du contrôle de la Commission effectué le 26 mai, le PS a pris les mesures nécessaires pour y mettre fin, a indiqué la Cnil.
Entendu le 13 septembre par la Cnil, le PS a plaidé «sa bonne foi en rappelant que la faille est survenue à son insu lors de la modification de l'application de suivi des paiements des primo-adhésions le 12 mai 2016», selon la délibération de la Cnil.
Le Parti a également affirmé qu'il n'y avait pas eu de «conséquences dommageables» dès lors que la faille avait été brève et qu'il n'était pas établi que des internautes aient eu accès aux dites données et que ces dernières étaient «d'une portée limitée».
Durant l'audience, la formation restreinte de la Cnil a de son côté mis en exergue la «particulière ampleur de l'incident» et a insisté sur le fait qu'il s'agissait d'une fuite de données sensibles puisqu'elle avait permis de «faire apparaître directement les opinions politiques des personnes».
«Il s'agit d'informations relevant de la vie privée des personnes que ces dernières doivent être libres de révéler ou non», a relevé la Cnil dans sa délibération.
La Cnil a donc décidé de prononcer un avertissement à l'encontre du PS et «de rendre publique sa décision en raison de la gravité des manquements constatés, du nombre de personnes concernées par la faille et du caractère particulièrement sensible des données».
Le PS a indiqué jeudi soir prendre acte de la décision et a réaffirmé «son attachement à garantir la protection continue de ses données».