Menu
Vous êtes ici : Accueil > Actualités > Actualités > L’obligation de sécurisation des données : Nouvelle sanction de la CNIL

L’obligation de sécurisation des données : Nouvelle sanction de la CNIL

Le 03 juillet 2018
L’obligation de sécurisation des données : Nouvelle sanction de la CNIL

Depuis plusieurs mois, les décisions de condamnation de la CNIL à l’encontre de sociétés et associations pour violation des règles liées au respect des données personnelles se multiplient avec notamment le prononcé d’amendes conséquentes.

Le 21 juin dernier, l’Association pour le Développement des Foyers (ADEF), mettant à disposition des logements dans des résidences et foyers notamment pour des étudiants, familles monoparentales et travailleurs migrants a ainsi été condamnée à régler 75 000 euros d’amende pour des manquements graves à la sécurisation et la confidentialité des données personnelles utilisateurs de son site internet.

Manquements à la sécurisation des données

Informé en juin 2017 d’un incident de sécurité permettant d’accéder aux données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur la plateforme en ligne de l’association, la CNIL a procédé à un contrôle constatant « qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF ».

Le même jour, la CNIL a alerté l’association de cette violation de données à caractère personnel et lui a demandé d’y remédier. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de l’association. Il a été constaté que les données étaient toujours accessibles, alors que l’association indiquait avoir demandé à la société ayant développé son site web d’intervenir.

A l’image de la décision ayant condamné en début d’année Darty, l’association a vu sa responsabilité engagée au regard de failles de sécurité inhérente au développement de leur site internet auxquelles l’ADEF n’a jamais remédié : la prévisibilité des URL et l’absence de procédure d’identification ou d’authentification des utilisateurs du site internet.

Une variété de critères déterminants

Cette décision remet en lumière la proportionnalité attachée aux différents critères mis en place par la CNIL. En effet, la bonne foi, la coopération sont autant d’éléments pris en compte dans sa décision que l’importance du volume de données concernées – 42 652 documents, les délais de réaction suite à la notification et le caractère particulièrement intime et complet des données - des noms, prénoms, dates de naissance, coordonnées postales, statut marital ou encore leur nombre d’enfants ; le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ; des IBAN (références bancaires) ; des données relevant de la vie privée : salaire, revenu fiscal de référence, versement d’une aide personnalisée au logement ou d’une allocation aux adultes handicapés. En l’espèce, ce sont ces deux derniers critères qui ont emporté la condamnation de la société.

Par cette décision, la CNIL rappelle à nouveau le principe de responsabilité des propriétaires de sites internet qui ne peut se borner à de simples diligences de complaisances.

 

Cette actualité est associée aux catégories suivantes : Actualités