La CNIL a prononcé une sanction de 75 000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour avoir insuffisamment protégé les données des utilisateurs de son site internet. Les faits remontent à 2017.
En juin 2017, la CNIL est informée de l’existence d’un incident de sécurité : les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association, qui met à disposition des logements notamment pour des étudiants, des familles monoparentales et des travailleurs migrants, sont librement accessibles. “Une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF.” Si l’association, avertie, indique alors avoir demandé à la société ayant développé son site web d’intervenir, quelques jours plus tard la Cnil constate que les données sont toujours librement accessibles.
42 652 documents concernés par la violation
Noms, prénoms, dates de naissance, coordonnées postales, statut marital ou encore nombre d’enfants, numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), IBAN (références bancaires), salaires, revenus fiscaux de référence, versements d’une aide personnalisée au logement ou d’une allocation aux adultes handicapés… De nombreuses données d’identification des utilisateurs du site étaient accessibles. En tout, plus de 42 600 documents.
La formation restreinte de la CNIL a donc décidé de prononcer une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés. La Cnil relève “que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site.” “L’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL (exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie par la personne telle que « carte-identité », « cni » ou « avis imposition »)”, explique-t-elle. Et ajoute : “La société aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs.”
Début juin, la Cnil a infligé une amende record de 250 000 euros à la
chaîne de magasins d’optique Optical Center, pour une atteinte à la sécurité
des données de ses clients.