La très grande majorité (83 %) des 100 sites français les plus populaires échouent aux contrôles de conformité RGPD selon des tests menés par ImmuniWeb, fournisseur mondial de tests de sécurité Web, mobiles et API. Un an après l’entrée en application de ce règlement, cette « vitrine » laisse à désirer…
Il y a le discours officiel qui se veut rassurant et la réalité. Les sites ont beau afficher des messages informant les internautes qu’ils peuvent ou non accepter les cookies et autres trackers, cette volonté d’être en conformité avec le RGPD ne reflète pas la réalité !
ImmuniWeb, fournisseur mondial de tests de sécurité Web, mobiles et API et d'évaluation de risques, a mis en œuvre son nouveau contrôle de conformité RGPD. Objectif ? Vérifier si les plus grands sites européens respectent les exigences de ce texte.
Un test en ligne non intrusif peut donner rapidement des sueurs froides aux internautes quant à la protection de leurs données personnelles. Il permet en une vingtaine de minutes environ de vérifier si des sites :
- respectent le texte européen ;
- respectent la norme de sécurité de l'industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS) ;
- gèrent la sécurité de leur CMS et la confidentialité des données.
Sites français : « peu mieux faire » !
Les tests des 100 sites les plus visités de chacun des 28 États membres européens donnent les résultats suivants :
- Politique de confidentialité manquante ou difficile à obtenir (51,50 % d’échecs) ;
- Utilisation non sécurisée des cookies manipulant des données potentiellement sensibles (78,25 % d’échecs) ;
- Composants CMS ou CMS obsolètes et vulnérables (6,75 % d’échecs) ;
- Pas de cryptage HTTPS ni d’utilisation de SSLv3 (5,96 % d’échecs)
Pour la France, les résultats ont révélé que 83 % des sites contrôlés ne satisferaient pas aux exigences de conformité du RGPD, avec :
- Une politique de confidentialité manquante ou difficile à obtenir (50 % d'échecs) ;
- L’utilisation non sécurisée des cookies manipulant des données potentiellement sensibles (80 % d'échecs) ;
- Des composants CMS ou CMS obsolètes et vulnérables (0 % d'échecs) ;
- Cryptage HTTPS ou utilisation SSLv3 manquant (10 % d'échecs).
Ces résultats placent la France au 10e rang. Mais la Slovaquie, la Croatie, la République tchèque, l'Irlande et Malte stagnent au bas du tableau avec un taux d'échec de 100 % !
« Nous pouvons constater que des efforts louables ont été déployés pour améliorer la sécurité des applications Web et respecter les exigences du RGPD parmi les entreprises européennes. Cependant, il reste un long chemin à parcourir avant que la majorité des entreprises accordent de la valeur à la sécurité, offrant ainsi à leurs utilisateurs la confidentialité et la sécurité qu’ils méritent vraiment », explique Ilia Kolochenko, CEO et fondateur d'ImmuniWeb,
Rappelons que 144 376 plaintes ont été déposées pour diverses violations du RGPD, tandis que les entreprises ont signalé 89 271 violations de données. Par ailleurs, un rapport bruxellois révèle que 56 millions d'euros d'amendes ont été infligés depuis l'entrée en vigueur de ce règlement.
Source : Immuniweb.com