La CNIL inflige 30 000 euros d'amende à une association car son site présente des URL non sécurisées

Par:
fredericmazue

lun, 01/10/2018 - 17:39

Rebelote... En juin dernier, la CNIL a infligé une amende de 75 000 euros à l'association ADEF. pour le motif suivant : Les URL générées par le site étaient prévisibles, s'il bien qu'il était extrêmement facile pour tout un chacun d'accéder à des documents confidentiels.

Cette fois, c'est l'association Alliance Française Ile-de-France qui écope d'une amende de 30 000 euros, pour une raison très similaire.

La CNIL explique que sur le site de l'association, un défaut de sécurité permettait d'accéder à des documents contenant des données à caractère personnel à partir d’adresses URL du type https ://portail.alliancefr.org/ utilisateur/telecharger_document?id_document=X , où X représente un nombre entier.

Ainsi, par simple incrémentation de la valeur de X , une délégation de la CNIL a pu télécharger 15 611 documents qui contenaient tous au moins un nom et un prénom et qui pour certains, contenaient également une adresse postale et une nationalité. Ce constat a été fait en décembre 2017. L& CNIL a alors contacté l'association, afin que le défaut soir corrigé.

Le 5 février 2018, la délégation de la CNIL a procédé à une mission de contrôle dans les locaux de l’association. La délégation a constaté à cette occasion que les documents qu’elle avait téléchargés au cours du contrôle en ligne du 4 décembre 2017 étaient toujours accessibles à partir des mêmes adresses URL et que 413 144 documents étaient accessibles.

Pour se défendre, l’association a expliqué que le sous-domaine portail.alliancefr.org avait été réalisé par son sous-traitant, que n’étant pas satisfaite de la dernière version livrée, elle avait décidé de dénoncer les contrats passés avec celui-ci et qu’elle avait repris l’administration et la maintenance du site en octobre 2017. L’association a expliqué qu’en raison du litige qui l’oppose à son sous-traitant, elle avait fait constater l’existence de la violation de données par un huissier de justice le 20 décembre 2017, à la suite du constant de la CNIL, et qu’à cette occasion, un correctif avait été mis en place. Au jour du contrôle sur place, l’association n’avait pas encore reçu le procès-verbal de constat établi par l’huissier de justice.

Malheureusement pour l'association, le correctif ne semble n'a pas avoir été très efficace...

La CNIL rappelle que l’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

et ajoute que si le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.