Par une délibération de la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) en date du 6 septembre 2018, l’association Alliance Française Paris Île-de-France a été sanctionnée pour  manquement à son obligation de préserver la sécurité et la confidentialité des données personnelles des personnes qui suivent les cours de français qu’elle dispense. Le montant de la sanction est de 30.000 euros.

Quels sont les faits reprochés à l’association ?

La Cnil a procédé à un contrôle en ligne le 4 décembre 2017 après qu’elle a été informée d’un incident de sécurité sur le site internet de l’association. Aux termes des constatations des agents, il est apparu que le téléchargement de documents contenant des données à caractère personnel était possible en modifiant simplement le numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur comme illustré ci-dessous.

https://portail.alliancefr.org/utilisateur/telecharger_document?id_document=X

X correspondant à un nombre entier

Dans ce contexte, les agents de la Cnil ont pu télécharger plus de 15 000 documents contenant des données à caractère personnel. Il s’agissait notamment de factures ou de certificats d’inscription. Ainsi, cette violation de données concernait les noms, prénoms, adresses postales ainsi que la nationalité des apprenants. 

La Cnil a informé l’association de la violation de données le jour du contrôle, afin que cette dernière puisse prendre toutes mesures nécessaires. Le procès-verbal de constat a été notifié à l’association le 14 décembre 2017. Cependant, le 5 février 2018, à la suite d’un nouveau contrôle sur place réalisé par la Cnil, les documents étaient toujours accessibles avec la même technique décrite ci-dessus. L’association a alors justifié la poursuite de la violation de données du fait du litige qui l’opposait à son sous-traitant. Le 23 février 2018, la Cnil a procédé à un nouveau contrôle en ligne. Encore une fois, les documents pouvaient être téléchargés. Le 2 mars 2018, Alliance Française Paris Île-de-France a indiqué à la Cnil que des correctifs avaient été mis en place.

Quelle est la décision de la Cnil ?

En application de l’article 34 de la loi du 6 janvier 1978 modifiée, il apparaît que l’association n’a pas procédé aux vérifications régulières qui lui incombent afin de protéger au mieux les données des personnes auxquelles elle dispense des cours de français. La formation restreinte de la Cnil a constaté que les mesures élémentaires de sécurité n’avaient pas été prises. Celle-ci n’a en effet pas mis en place un dispositif permettant d’éviter la violation de données. Comme elle l’a rappelé dans une décision similaire en date du 21 juin 2018 ; l’association aurait dû élaborer une fonction permettant d’éviter la prévisibilité des URL ainsi qu’un moyen d’authentification des personnes accédant aux documents. A ce sujet, la Cnil rappelle que ces mesures ne nécessitaient « aucune compétence particulière ». 

En outre, la Cnil insiste sur le fait que le responsable de traitement ne peut justifier son manquement par l’erreur commise par un sous-traitant. En effet, l’article 35 de la loi Informatique et Libertés dispose que le responsable de traitement est tenu de veiller au respect des mesures de sécurité mises en oeuvre par le sous-traitant. Par ailleurs, elle ajoute que cette obligation doit être respectée indépendamment de la « potentielle attractivité des données traitées ou de leur valeur sur le marché ». 

Par conséquent, la Cnil prononce une sanction de 30.000 euros, du fait du « caractère élémentaire » de l’incident de sécurité. Par ailleurs, cette décision est rendue publique afin de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données.

Mathias Avocats reste à votre disposition pour vous accompagner dans vos démarches de mise en conformité au cadre juridique relatif à la protection des données.