Par une délibération de la formation restreinte n° SAN-2018-003 du 21 juin 2018, la Commission nationale de l’informatique et des libertés (Cnil), a prononcé une sanction pécuniaire à hauteur de 75 000 euros, à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour un manquement à son obligation de préserver la sécurité et la confidentialité des données personnelles. Cette association de droit privé, à but non lucratif, met à disposition des logements pour des personnes en difficulté sociale, notamment des étudiants, des travailleurs migrants et des familles monoparentales.

Cette délibération a été rendue un an avant le nouveau Règlement général sur la protection des données (RGPD); c’est-à-dire sous l’empire de la loi n° 78-17 du 6 janvier 1978, dite loi informatique et Libertés, ayant été modifiée par une loi n° 2016-1321 du 7 octobre 2016. La Cnil n’a prononcé aucune mise en demeure préalable à la procédure de sanction. En effet cela n’est plus obligatoire.

Quels sont les manquements reprochés et quels enseignements peut-on tirer de cette décision ? Mathias Avocats revient sur cette délibération.

Quels sont les faits ?

En juin 2017, la Cnil a été alertée de la présence d’un défaut de sécurité permettant d’accéder à des données personnelles des demandeurs de logement. Les contrôles en ligne de la Cnil ont permis de constater qu’en effectuant une demande et en modifiant simplement l’URL, il était possible d’accéder à des documents confidentiels d’autres bénéficiaires.

La Cnil a alors informé l’association de cette violation de données à caractère personnel et lui a demandé de prendre des mesures afin de pallier ce manquement. Or, quelques jours plus tard, un contrôle sur place a été effectué et les données étaient toujours accessibles, alors même que l’association avait demandé au développeur du site internet d’intervenir.

Manquement à l’obligation de sécurité

La loi informatique et libertés impose d’assurer la sécurité des données à caractère personnel. Or, la formation restreinte de la Cnil constate que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site de l’ADEF. Celle-ci n’a en effet pas mis en place un dispositif permettant d’éviter la « prévisibilité des URL » ; elle aurait dû élaborer une fonction modifiant la dénomination des fichiers enregistrés par les personnes, afin d’empêcher qu’une personne n’identifie le chemin d’accès aux dossiers hébergés sur le site.

De plus, elle aurait dû concevoir une procédure d’identification ou d’authentification des utilisateurs du site ou encore un moyen (par exemple des cookies), permettant de s’assurer que les personnes accédant aux documents, étaient bien ceux à l’origine de la demande.

Ainsi, en vertu de l’article 34 de la loi du 6 janvier 1978 modifiée, l’association n’a pas procédé aux vérifications régulières qui lui incombent afin de protéger au mieux ses utilisateurs.

La sanction ?

La Cnil a considéré que le montant de 150 000 euros proposé par le rapporteur était disproportionné. En effet l’association a coopéré avec les services de la Cnil et a agi rapidement afin de corriger l’incident.

Toutefois, elle condamne l’association à payer 75 000 euros, du fait de la gravité de la violation et du manquement. Par ailleurs, cette décision est rendue publique. En effet, les documents sur le site contiennent une multitude de données personnelles (nom, prénom, coordonnées postales, références bancaires, revenu fiscal, nombre d’enfants, etc.), et concernent un nombre important de personnes.

Que retenir ?

La Cnil rappelle qu’il faut procéder à une vérification particulière lorsqu’il s’agit de mettre en ligne un nouveau site internet, notamment réaliser un contrôle en amont relatif aux mesures de sécurité mises en œuvre. Peu importe le nombre de personnes ou de documents concernés. En l’espèce, il n’y avait que 42 652 documents, ce qui ne représente pas un volume considérable… Par ailleurs, une délibération similaire de la Cnil, concernant des manquements aux obligations de sécurité, a été rendue un mois auparavant à l’encontre de la société Optical Center.