Juridique

La CNIL inflige une amende de 75000 euros à l'ADEF

La CNIL inflige une amende de 75000 euros à l'ADEF
La CNIL poursuit sa politique de publication de sanctions de plus en plus lourdes mais pas encore au niveau de celles prévues au RGPD.

Un défaut de conception d'un site web ayant entraîné une faille de sécurité vaut à l'ADEF une amende infligée par la CNIL.

PublicitéEn Juin 2017, donc un an avant l'entrée en vigueur du RGPD, la CNIL a reçu le signalement d'un grave incident de sécurité sur le site web de l'ADEF. L'instruction de l'affaire a débouché récemment sur une amende de 75 000 euros infligée à l'association par l'autorité administrative indépendante. Cette amende aurait pu être bien plus élevée sous l'empire du RGPD tant les faits sont graves et ont entraîné la divulgation potentielle de données sensibles.

L'Association pour le Développement des Foyers (ADEF) gère et attribue des logements dans des résidences et foyers, notamment au bénéfice des étudiants, des familles monoparentales et des travailleurs migrants. De ce fait, elle est amenée à demander à ses bénéficiaires éventuels de déposer des documents sensibles via le site web de l'association, dans le cadre de l'instruction de leurs dossiers : avis d'imposition, passeports, cartes d'identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF... Or un bénéficiaire pouvait, en modifiant simplement l'URL, accéder aux documents d'autres bénéficiaires, d'autant plus facilement que les URL se construisaient de telle sorte que la qualité d'un document s'y lisait (« carte-identite » pour la carte d'identité par exemple).

De graves divulgations potentielles

La CNIL a alerté l'association puis a refait un contrôle quelques jours plus tard : le problème n'avait pas été résolu et le site toujours en ligne. L'association s'était contentée d'alerter son prestataire même si elle a ensuite pleinement coopéré avec la CNIL.

L'autorité administrative a dénoncé la divulgation potentielle de données sensibles : « la formation restreinte a relevé que de nombreuses données d'identification des utilisateurs du site étaient accessibles telles que : des noms, prénoms, dates de naissance, coordonnées postales, statut marital ou encore leur nombre d'enfants ; le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ; des IBAN (références bancaires) ; des données relevant de la vie privée : salaire, revenu fiscal de référence, versement d'une aide personnalisée au logement ou d'une allocation aux adultes handicapés. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis