Deux associations viennent d\u2019\u00eatre condamn\u00e9es \u00e0 de lourdes peines d\u2019amendes par la Commission nationale de l\u2019informatique et des libert\u00e9s (Cnil) pour ne pas avoir suffisamment s\u00e9curis\u00e9 les donn\u00e9es personnelles de leurs b\u00e9n\u00e9ficiaires. <\/p>\n
Dans la premi\u00e8re affaire, une association mettait \u00e0 la disposition de personnes en difficult\u00e9 des logements dans des r\u00e9sidences et foyers. Or la Cnil avait constat\u00e9 qu\u2019il \u00e9tait possible, \u00e0 partir du site Internet de l\u2019association, d\u2019acc\u00e9der \u00e0 des documents fournis par les demandeurs de logements et comportant des donn\u00e9es sensibles (passeport, carte nationale d\u2019identit\u00e9, bulletins de salaire\u2026). Pour cela, il suffisait de changer un mot pr\u00e9sent dans l\u2019URL d\u2019une demande de logement affich\u00e9e dans le navigateur. De plus, une recherche faite \u00e0 partir de Google et incluant le nom du site Internet de l\u2019association et les mots \u00ab\u00a0pdf impot\u00a0\u00bb permettait d\u2019obtenir les avis d\u2019imposition des b\u00e9n\u00e9ficiaires.<\/p>\n
Ces manquements ont amen\u00e9 la Cnil \u00e0 prononcer une sanction de\u00a075\u00a0000\u00a0\u20ac contre l\u2019association. Une sanction s\u00e9v\u00e8re justifi\u00e9e par la nature particuli\u00e8rement sensible des donn\u00e9es auxquelles il \u00e9tait possible d\u2019acc\u00e9der (salaire, revenu fiscal de r\u00e9f\u00e9rence, date de naissance, num\u00e9ro de S\u00e9curit\u00e9 sociale, adresse\u2026) et par le nombre de personnes et de documents vis\u00e9s (plusieurs centaines).<\/p>\n
Par ailleurs, la Cnil a consid\u00e9r\u00e9 que ces failles, qui permettaient \u00e0 toute personne ext\u00e9rieure, m\u00eame sans connaissance technique particuli\u00e8re, d\u2019acc\u00e9der aux documents des b\u00e9n\u00e9ficiaires, auraient pu \u00eatre \u00e9vit\u00e9es en mettant en place des mesures \u00e9l\u00e9mentaires de s\u00e9curit\u00e9 ne requ\u00e9rant pas de d\u00e9veloppements importants ni co\u00fbteux.<\/p>\n
Dans la seconde affaire, la Cnil avait constat\u00e9 qu\u2019il \u00e9tait possible, en modifiant une\u00a0URL, de t\u00e9l\u00e9charger des dizaines de milliers de documents (factures, certificat d\u2019inscription \u00e0 un stage\u2026) \u00e0 partir du site Internet d\u2019une association qui dispensait des cours de fran\u00e7ais. Des documents comportant tous un nom et un pr\u00e9nom, et parfois, une adresse postale et une nationalit\u00e9.<\/p>\n
Pour ne pas avoir mis en place les mesures de s\u00e9curit\u00e9 suffisantes pour prot\u00e9ger les donn\u00e9es personnelles de ses \u00e9l\u00e8ves, l\u2019association a \u00e9t\u00e9 condamn\u00e9e \u00e0 une amende de\u00a030\u00a0000\u00a0\u20ac. Pour la Cnil, le d\u00e9faut de s\u00e9curit\u00e9 pouvait \u00eatre facilement corrig\u00e9 par l\u2019association et cette faille pouvait \u00eatre exploit\u00e9e par des personnes n\u2019ayant aucune comp\u00e9tence informatique. De plus, l\u2019association, qui avait \u00e9t\u00e9 pr\u00e9venue d\u00e9but d\u00e9cembre\u00a02017 de ce probl\u00e8me, n\u2019y avait mis fin que\u00a03\u00a0mois plus tard. Enfin, elle a rappel\u00e9 que l\u2019association, en tant que responsable de traitement, ne pouvait invoquer les fautes de son sous-traitant pour se d\u00e9douaner.<\/p>\n
\n \u00c0 savoir :<\/span> prenant en consid\u00e9ration le \u00ab\u00a0contexte actuel dans lequel se multiplient les incidents de s\u00e9curit\u00e9 et la n\u00e9cessit\u00e9 de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la s\u00e9curit\u00e9 des donn\u00e9es\u00a0\u00bb, la Cnil a d\u00e9cid\u00e9 de publier ces deux d\u00e9cisions.<\/p>\n Les Echos Publishing 2018<\/p>\n","protected":false},"excerpt":{"rendered":" Les associations doivent prendre les mesures n\u00e9cessaires pour prot\u00e9ger les donn\u00e9es personnelles qui lui sont confi\u00e9es, au risque de se voir sanctionner par la Cnil.<\/p>\n","protected":false},"author":5,"featured_media":6617,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"yes","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[35],"tags":[30],"class_list":["post-6616","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-juridique","tag-associations","typo-actualite"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/posts\/6616"}],"collection":[{"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/comments?post=6616"}],"version-history":[{"count":1,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/posts\/6616\/revisions"}],"predecessor-version":[{"id":6642,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/posts\/6616\/revisions\/6642"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/media\/6617"}],"wp:attachment":[{"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/media?parent=6616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/categories?post=6616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bizouard.com\/wp-json\/wp\/v2\/tags?post=6616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n D\u00e9lib\u00e9ration n\u00b0 SAN-2018-003 du 21 juin 2018
\n <\/a><\/cite>
\n D\u00e9lib\u00e9ration n\u00b0 SAN-2018-010 du 6 septembre 2018
\n <\/a><\/cite><\/p>\n