La CNIL inflige une amende de 75000 euros à l'ADEF
Un défaut de conception d'un site web ayant entraîné une faille de sécurité vaut à l'ADEF une amende infligée par la CNIL.
PublicitéEn Juin 2017, donc un an avant l'entrée en vigueur du RGPD, la CNIL a reçu le signalement d'un grave incident de sécurité sur le site web de l'ADEF. L'instruction de l'affaire a débouché récemment sur une amende de 75 000 euros infligée à l'association par l'autorité administrative indépendante. Cette amende aurait pu être bien plus élevée sous l'empire du RGPD tant les faits sont graves et ont entraîné la divulgation potentielle de données sensibles.
L'Association pour le Développement des Foyers (ADEF) gère et attribue des logements dans des résidences et foyers, notamment au bénéfice des étudiants, des familles monoparentales et des travailleurs migrants. De ce fait, elle est amenée à demander à ses bénéficiaires éventuels de déposer des documents sensibles via le site web de l'association, dans le cadre de l'instruction de leurs dossiers : avis d'imposition, passeports, cartes d'identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF... Or un bénéficiaire pouvait, en modifiant simplement l'URL, accéder aux documents d'autres bénéficiaires, d'autant plus facilement que les URL se construisaient de telle sorte que la qualité d'un document s'y lisait (« carte-identite » pour la carte d'identité par exemple).
De graves divulgations potentielles
La CNIL a alerté l'association puis a refait un contrôle quelques jours plus tard : le problème n'avait pas été résolu et le site toujours en ligne. L'association s'était contentée d'alerter son prestataire même si elle a ensuite pleinement coopéré avec la CNIL.
L'autorité administrative a dénoncé la divulgation potentielle de données sensibles : « la formation restreinte a relevé que de nombreuses données d'identification des utilisateurs du site étaient accessibles telles que : des noms, prénoms, dates de naissance, coordonnées postales, statut marital ou encore leur nombre d'enfants ; le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ; des IBAN (références bancaires) ; des données relevant de la vie privée : salaire, revenu fiscal de référence, versement d'une aide personnalisée au logement ou d'une allocation aux adultes handicapés. »
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire