Menu
Vous êtes ici : Accueil > Actualités > Actualités > CNIL & RGPD : Sanction d’une association pour violation à la protection des données

CNIL & RGPD : Sanction d’une association pour violation à la protection des données

Le 04 octobre 2018
CNIL & RGPD : Sanction d’une association pour violation à la protection des données

Par une délibération du 6 septembre dernier, la CNIL a prononcé une sanction de 30 000 euros à l’encontre de l’association de l’Alliance française Paris Ile de France, association chargée d'accompagner chaque année 90 000 personnes dans l'apprentissage du français.

 

URL manipulable et Absence de réactivité

Informée en 2017 de l’existence d’un incident de sécurité sur sa plateforme en ligne rendant librement accessible les données des personnes suivant des cours de français, la CNIL a procédé a pu constater que la modification d’un numéro dans l’adresse URL permettait d’échanger les comptes utilisateurs et télécharger des documents des données personnelles, tels que des factures, des certificats d’inscription ou des récapitulatifs des cours suivis.

Plus de 400 000 documents étaient ainsi accessible au cours d’un contrôle au sein des locaux de l’association lancé début 2018. En dépit de la persistance du problème plusieurs semaine après, l’association s’est empressée d’informer la CNIL de la résolution de la faille informatique début mars.

 

Des mesures élémentaires de sécurité et une responsable malgré la sous-traitance

À travers sa décision, la CNIL précise des lacunes des procédures de l’Alliance française Paris Ile de France. Elle a ainsi précisé que des mesures élémentaires de sécurité auraient dû être mise en place : une procédure d’identification ou d’authentification des utilisateurs du site internet qui aurait pu être complétée par un dispositif permettant d’éviter la prévisibilité des URL

La décision de la CNIL rappelle un élément important de la protection des données personnelles : bien que l’origine de la faille se trouve dans une erreur commise par un sous-traitant informatique, cet argument ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.

Ces critères auront vocation à justifier une sanction future probable de la plateforme InfoGreffe dont des failles de sécurité ont également été récemment découvertes.

 

Cette actualité est associée aux catégories suivantes : Actualités