l’ADEF condamnée à payer 75 000 € : La CNIL persévère dans sa lutte contre les atteintes à la sécurité

28 août 2018

La formation restreinte de la CNIL a prononcé une sanction de 75 000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour avoir insuffisamment protégé les données des utilisateurs de son site internet.

L’association pour le Développement des Foyers (ADEF) est une association de droit privé ayant pour mission de mettre à disposition des logements dans des résidences et foyers pour personnes en difficulté sociale.

En juin 2017, la CNIL a été informée de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association.

Au cours d’un contrôle en ligne, la CNIL a effectué une demande de logement en renseignant le formulaire sur le site de l’association, et a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder aux documents enregistrés par d’autres demandeurs.

Après une recherche via le moteur de recherche Google, la CNIL a également constaté que des avis d’imposition sur les revenus figuraient dans les résultats affichés.

La CNIL a donc alerté l’association de cette violation de données le 15 juin 2017 et lui a demandé d’y remédier.

Six jours plus tard, le 21 juin 2017, un contrôle sur place a eu lieu dans les locaux de l’ADEF et la CNIL a constaté que les données étaient toujours accessibles.

L’ADEF s’est défendue en invoquant le fait qu’elle avait reçu le PV de constatation en ligne du 15 juin 2017 le 22 juin, soit un jour après le contrôle sur place de la CNIL. La CNIL a rétorqué que ce PV avait également été envoyé par courriel le 20 juin 2017, soit un jour avant le contrôle, et que l’ADEF avait en conséquence eu le temps de remédier à ses manquements.

La CNIL note en premier lieu que les mesures élémentaires de sécurité n’ont pas été prises en amont du développement du site, et relève notamment :

  • l’absence d’un dispositif permettant d’éviter la prévisibilité des URL ;
  • l’absence d’une restriction d’accès aux documents mis à la disposition des personnes via un espace réservé à chaque personne.

Elle relève en second lieu que l’exploitation de la violation de données (via l’écriture de l’URL ou la recherche sur un moteur de recherche) ne nécessitait aucune compétence technique particulière. Elle rappelle, en outre, que l’exposition de données à caractère personnel, sans contrôle d’accès préalable, est identifiée comme faisant partie des failles de sécurité pour lesquelles une surveillance particulière s’impose et doit, en conséquence, faire l’objet de vérifications, notamment dans le cadre d’un audit de sécurité. La CNIL estime, par conséquent, que l’ADEF n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

En troisième lieu, l’association précise que l’incident concernait seulement les documents fournis par les personnes n’ayant pas finalisé leur démarche sur le site internet. La CNIL considère que cela révèle une conservation des données pendant une durée non justifiée, et est sans incidence sur la caractérisation du manquement.

La CNIL relève, en conséquence, un manquement de l’ADEF à son obligation de préserver la sécurité et la confidentialité des données à caractère personnel des utilisateurs de son site (article 34 de la Loi informatique et liberté).

Sur la détermination de la sanction, la CNIL relève que la gravité de la violation est caractérisée en raison de la nature des données concernées (justificatifs d’identité, bulletins de salaire, avis d’imposition, attestations de paiement de la CAF…), et du nombre de documents (42 652) et de personnes concernées par la violation. La CNIL a donc prononcé une sanction pécuniaire de 75 0000 euros à l’encontre de l’association, et a décidé de rendre publique sa décision.

Cette décision s’inscrit dans la lignée des précédentes délibérations de la CNIL, par lesquelles cette dernière a également condamné des sociétés pour manquement à l’obligation de préserver la sécurité des données (DARTY, OPTICAL CENTER).

DERRIENNIC ASSOCIES

Tags: , , ,