ALLIANCE FRANCAISE PARIS ÎLE DE FRANCE : sanction de 30.000€ pour une atteinte à la sécurité des données des utilisateurs

27 septembre 2018

La formation restreinte de la CNIL a prononcé une sanction de 30.000 euros à l’encontre de l’association ALLIANCE FRANCAISE PARIS ÎLE-DE-FRANCE pour avoir insuffisamment sécurisé les données des personnes suivant les cours de français qu’elle dispense.

En novembre 2017, la CNIL a été informée de l’existence d’un incident de sécurité sur le site internet de l’association ALLIANCE FRANCAISE PARIS ÎLE-DE-FRANCE qui conduisait à rendre librement accessibles les données des personnes suivant des cours de français.

Un contrôle en ligne effectué en décembre 2017 a permis de constater qu’en modifiant un numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur, il était possible de télécharger des documents contenant des données personnelles, tels que des factures, des certificats d’inscription ou des récapitulatifs des cours suivis.

Un contrôle au sein des locaux de l’association début 2018 a révélé que la violation de données persistait et que celle-ci donnait accès à 413 144 documents. Un second contrôle en ligne réalisé quelques semaines plus tard a conduit à constater que les documents étaient toujours accessibles. L’association a informé la CNIL qu’elle avait mis fin à la violation de données début mars.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 30.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Elle a relevé que les mesures élémentaires de sécurité auraient dû être mises en place telles qu’une procédure d’identification ou d’authentification des utilisateurs du site internet qui aurait pu être complétée par un dispositif permettant d’éviter la prévisibilité des URL (exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas de numéro d’identifiant). Elle a également relevé que l’association avait manqué de diligence dans la résolution de la violation et que celle-ci avait concerné un nombre important de documents.

La formation restreinte a enfin rappelé que le fait qu’une violation de données ait pour origine, comme cela été invoqué en l’espèce, une erreur commise par un sous-traitant, ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.

Les mots clés associés à cet article