Sécurité des données : la CNIL condamne une association à 75 000 euros d'amende

Par:
fredericmazue

ven, 29/06/2018 - 15:24

Les propriétaires de sites internet et leurs développeurs doivent être attenitif à la sécurité des données de leurs utilisateurs. Faute de quoi la CNIL peut sanctionner sévèrement. L'ADEF (Association pour le Développement des Foyers) vient d'en faire la douloureuse expérience.

La CNIL a infligé une amende de 75 000 euros à l'ADEF, et explique pourquoi dans un billet.

En juin 2017, la CNIL a été informée de l’existence d’un défaut de sécurité rendant librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association

La CNIL a alors effectué un contrôle au cours duquel elle a constaté qu'il suffisait de modifier l'URL dans la barre du navigateur pour accéder librement aux documents déposés par d'autres demandeurs. Des document importants, demandant de la confidentialité : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF....

Les URL générées par le site étaient prévisibles, s'il bien qu'il était extrêmement facile pour tout un chacun d'accéder à des documents confidentiels. Ceci sans aucun procédure d'identification.

Outre l'accès aux documents mentionnés plus haut, il était possible, de la même manière, d'accéder à des données personnelles telles que : noms, prénoms, dates de naissance, coordonnées postales, statut marital, IBAN (références bancaires) salaire, revenu fiscal de référence...

La CNIL a alerté l’association de cette violation de données à caractère personnel et lui a demandé d’y remédier. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de l’association. Il a été constaté que les données étaient toujours accessibles, alors que l’association indiquait avoir demandé à la société ayant développé son site web d’intervenir, souligne le billet.

Finalement, la CNIL a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.