La Cnil rapporte donc qu'elle avait été alertée par le site Zataz en date du 7 septembre. La fonctionnalité d'agenda comportait des erreurs sur l'affichage SQL et rendait possible des injections XSS (pour du cross-site scripting). Ainsi, une personne mal intentionnée pouvait rediriger un internaute vers d'autres sites.
Pour autant, si la Cnil s'excuse, elle estime que les failles étaient mineures car : « elles ne permettaient pas de corrompre ou de modifier le site de la CNIL. De même, elles ne permettaient pas de récupérer des données personnelles des internautes. Il était techniquement impossible à une personne malintentionnée de laisser une trace résiduelle de son passage ou d'exécuter un programme malveillant par simple consultation de la page ».
Du coup, la Cnil conteste fortement les propos tenus par le Canard Enchaîné qui expliquait que « la base de données du site de la CNIL était grande ouverte ». Enfin, on notera que la Cnil reconnaît de son propre aveu l'existence d'une faille, fait relativement rare en France pour être souligné.
