Edit – Droit de réponse de France-Adot suite à mon article que je publie ici dans son intégralité. Content que ça bouge ! :

Bonjour. Les internautes porteurs d’une carte de donneur d’organes issue du site de FRANCE ADOT (www.france-adot.org) peuvent vouloir modifier leurs coordonnées. Suite à la parution d’un article sur le blog de korben, vous êtes plusieurs à nous reprocher un manque de sécurité de notre site, qui permet à un tiers d’accéder à vos références à partir de votre NOM + Prénom + Date de naissance, seuls éléments invariants permettant de définir chacun. Ce système est en place depuis 2012, et à ce jour nos internautes ne nous avaient jamais fait remonter de problèmes liés à une quelconque divulgation de leurs coordonnées. Auparavant, nous avions été confrontés à de très nombreux internautes qui n’arrivaient pas à modifier leurs données du fait de la complexité des procédures (par exemple des personnes âgées …), aussi avions nous cherché à simplifier du mieux possible la procédure de modification de leurs données, leur permettant ainsi d’être plus autonomes.

Malgré cela, nous comprenons la problématique que représente la simplification de cette procédure pour les internautes qui ne souhaitent pas que ces données soient aussi facilement décelables, et nous avons entendu le message qui nous a été transmis sur ce point. Nous allons donc procéder à sa modification, en y ajoutant une vérification par échange de mail, permettant ainsi d’éviter l’accès aux données par les 3 seules informations NOM, Prénom et date de naissance. Cela sera effectif dans les 8-10 jours, le temps pour notre prestataire de réaliser ces modifications. souhaitons que vous ajoutiez en haut de votre publication sur Korben, que nous allons rapidement mettre en place une solution permettant de sécuriser les données de nos internautes. Nous vous préviendrons lors de la mise en ligne, et, que nous allons rapidement mettre en place une solution permettant de sécuriser les données de nos internautes. Cordialement, Hervé LE SERRE, pour FRANCE ADOT (association gérée uniquement par des bénévoles).

—–

Sébastien, un lecteur du site, a découvert une « négligence caractérisée » sur le site de France-Adot qu’il est important que je vous signale.

Pour ceux qui ne connaitraient pas France Adot, c’est la Fédération des Associations pour le Don d’Organes et de Tissus humains. J’en avais parlé en 2007 et je m’étais inscrit sur leur site pour obtenir ma carte de donneur d’organes. Je trouve ça très bien et donner ses organes pour sauver des vies, c’est quelque chose qu’on devrait tous être prêts à faire.

Pour s’inscrire, il faut leur fournir les indications suivantes :

Nom

Prénom

Email

Adresse postale

Pays

Date de naissance

N° de téléphone

C’est ensuite enregistré dans leur base de données et le fichier est correctement déclaré à la CNIL. Mais il suffit d’entrer à nouveau sur le site, son nom, son prénom et sa date de naissance pour obtenir à nouveau toutes les infos. C’est d’ailleurs écrit sur le site : « …accéder à ses coordonnées ».

En gros, si vous souhaitez obtenir mes données personnelles que sont mon adresse postale, mon n° de téléphone et mon adresse email, il vous suffit de connaitre mon nom (DORNE), mon prénom (MANUEL) et ma date de naissance (23/03/1982). Ça se trouve assez facilement sur le net et voici ce que vous obtiendrez :

(J’ai modifié les données avant de faire la capture écran )

Pas cool, hein ?

Sébastien a contacté France Adot il y a plus de 15 jours pour les prévenir de leur erreur, et ces derniers lui ont confirmé que c’était effectivement possible de récupérer l’adresse des gens (En oubliant de mentionner aussi le n° de téléphone et l’ email), mais que ce ne serait pas « raisonnable » de le faire.

Franchement, j’sais pas… Pour moi, ce qui ne me semble pas raisonnable, c’est de laisser ce truc en l’état sans le corriger, sans même en avoir la volonté, et sans remercier la personne qui vous a prévenu. Je ne sais pas exactement dans quel cadre sont exploitées ces données, mais vu qu’il est aussi possible de les modifier, n’importe qui pourrait changer mon adresse, mon numéro de téléphone, mon email…etc.

Techniquement, France-Adot peut très bien modifier légèrement le process pour que les données personnelles ne ressortent pas lorsqu’on souhaite modifier nos infos sur leur site. Et pour éviter les modifications intempestives, pourquoi ne pas faire comme tout le monde, et demander un mot de passe ou au pire du pire, envoyer une URL temporaire avec clé unique par email ?

De mon côté, voyant mes infos perso exposées comme ça sur le net, je leur ai demandé il y a plus de 15 jours à ce que mes données soient effacées de leur base de données. C’est mon droit et c’est indiqué noir sur blanc sur leur site :

Seulement, voilà, 15 jours plus tard, je n’ai pas eu de réponse et mes données personnelles étaient toujours présentes sur le site. J’ai donc renvoyé à nouveau ma demande hier matin, mais pareil, pas eu de réponse. Donc j’ai fini par modifier moi-même mes données sur le site.

Si j’écris cet article, c’est surtout pour vous alerter que vos données sont exposées (Si vous avez fait une demande de carte de donneur évidemment) et qu’il faut que vous alliez les modifier vous-même pour les anonymiser, car France-Adot ne semble pas prendre au sérieux le risque ni tenir compte des demandes de suppression. (En tout cas en ce qui concerne les miennes)

Sébastien et moi, on n’y est pas arrivé, mais je vous invite quand même à leur envoyer un petit mail pour leur demander poliment de faire les corrections nécessaires sur le site. Ça les fera peut-être changer d’avis.

A bon entendeur, salut !

Et donnez vos organes, c’est bon pour la santé… des autres !