Deux associations viennent d’être condamnées à de lourdes peines d’amendes par la Commission nationale de l’informatique et des libertés (Cnil) pour ne pas avoir suffisamment sécurisé les données personnelles de leurs bénéficiaires.

Dans la première affaire, une association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Cnil avait constaté qu’il était possible, à partir du site Internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire…). Pour cela, il suffisait de changer un mot présent dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site Internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.

Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association. Une sanction sévère justifiée par la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et par le nombre de personnes et de documents visés (plusieurs centaines).

Par ailleurs, la Cnil a considéré que ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants ni coûteux.

Dans la seconde affaire, la Cnil avait constaté qu’il était possible, en modifiant une URL, de télécharger des dizaines de milliers de documents (factures, certificat d’inscription à un stage…) à partir du site Internet d’une association qui dispensait des cours de français. Des documents comportant tous un nom et un prénom, et parfois, une adresse postale et une nationalité.

Pour ne pas avoir mis en place les mesures de sécurité suffisantes pour protéger les données personnelles de ses élèves, l’association a été condamnée à une amende de 30 000 €. Pour la Cnil, le défaut de sécurité pouvait être facilement corrigé par l’association et cette faille pouvait être exploitée par des personnes n’ayant aucune compétence informatique. De plus, l’association, qui avait été prévenue début décembre 2017 de ce problème, n’y avait mis fin que 3 mois plus tard. Enfin, elle a rappelé que l’association, en tant que responsable de traitement, ne pouvait invoquer les fautes de son sous-traitant pour se dédouaner.

À savoir : prenant en considération le « contexte actuel dans lequel se multiplient les incidents de sécurité et la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données », la Cnil a décidé de publier ces deux décisions.


Délibération n° SAN-2018-003 du 21 juin 2018


Délibération n° SAN-2018-010 du 6 septembre 2018

Les Echos Publishing 2018