Par une délibération rendue publique le 21 juin 2018, la CNIL a condamné l’Association pour le Développement des Foyers (« ADEF ») à une sanction pécuniaire d’un montant de 75.000 euros pour manquement à son obligation d’assurer la sécurité des données personnelles.

Le 11 juin 2017, la Commission nationale de l’informatique et des libertés (la « CNIL ») a été alertée de l’existence d’un défaut de sécurité conduisant à rendre accessibles les avis d’imposition de bénéficiaires de l’association, à partir du moteur de recherche Google et des URL.

Le 15 juin 2017, un contrôle en ligne a été diligenté par la CNIL. Au cours de celui-ci, la CNIL a « constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder aux documents enregistrés par d’autres demandeurs (passeports, carte d’identité, titres de séjour, bulletins de salaire, etc.) ».

Suite à ce contrôle, la CNIL a informé l’ADEF de l’existence de cette violation de données à caractère personnel et lui a demandé d’y remédier. L’ADEF a informé la CNIL qu’elle avait pris contact avec la société ayant développé le site et que des mesures correctives allaient être prises.

Afin de vérifier la mise en place de ces mesures correctives, la CNIL a procédé à un contrôle sur place. Elle a constaté que les données personnelles étaient toujours accessibles.

  1. Sur l’absence de nullité de la procédure pour défaut de mise en demeure préalable

Comme dans le cadre de la procédure intentée à l’encontre d’Optical Center, l’ADEF a soutenu que la procédure de sanction de la CNIL était entachée de nullité dès lors qu’elle n’avait pas fait l’objet d’une mise en demeure préalable, en violation du 1er alinéa de l’article 45 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et libertés ».

La CNIL rappelle que le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure. Ainsi, lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, des sanctions peuvent être directement prononcées.  Or en l’espèce, comme pour la société Optical Center, la CNIL considère que les effets du manquement ne pouvaient pas être corrigés par une mise en demeure.

  1. Sur le manquement de l’ADEF à son obligation d’assurer la sécurité des données personnelles

Selon l’article 34 de la loi Informatique et libertés, « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». La CNIL estime qu’en l’espèce, l’ADEF a manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel contenues dans son système d’information.

La CNIL relève que « les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement » du site internet d’ADEF. En effet, selon la CNIL les mesures suivantes auraient dû être mises en place :

  • Un dispositif permettant d’éviter la prévisibilité des URL (ex : URL composée d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie par le demandeur telle que « carte identité », « titre de séjour ») ;

  • Une fonction modifiant la dénomination des fichiers enregistrés par les personnes lors du télé-versement de ceux-ci sur le répertoire ;

  • Une restriction d’accès aux documents mis à disposition de clients via un espace réservé à chaque personne, accessible via un identifiant et un mot de passe ; ou

  • Un moyen permettant de s’assurer que les personnes accédant aux documents enregistrés étaient bien à l’origine de la demande.

L’ensemble de ces mesures ne requéraient pas de développement importants, ni coûteux et auraient permis de réduire significativement le risque de survenance de la violation de données constatée.

Le manquement est d’autant plus caractérisé selon la CNIL que l’exploitation de la violation de données ne nécessitait pas de compétence technique particulière. Il suffisait ainsi à un utilisateur lambda de modifier l’URL des formulaires de demande qui contenaient le nom du document enregistré par la personne pour avoir accès à toutes sortes de données.

Par conséquent, les données étaient accessibles dans le cadre de la modification des URL, mais également via le moteur de recherche Google augmentant le risque que les données soient utilisées par des personnes non autorisées.

La CNIL conclut donc au manquement de l’article 34 de la loi Informatique et libertés et rappelle le caractère récurrent de ces failles de sécurité en raison de l’absence de contrôle d’accès préalable.

Rappelons qu’au sens du Règlement Général de Protection des Données (le « RGPD ») entré en application le 25 mai 2018, le responsable du traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, dont des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

  1. Sur la sanction prononcée

En tant que responsable du traitement ayant méconnu son obligation d’assurer la sécurité des données traitées, l’ADEF est condamnée à une amende de 75.000 euros.

Le rapporteur de la CNIL avait proposé à la formation restreinte de prononcer une sanction pécuniaire qui ne saurait être inférieure à 150.000 euros. Cependant, la CNIL a réduit ce montant en raison de la réaction rapide de l’ADEF suite à la prise de connaissance de la violation de données et la mise en place de mesures correctrices dans un délai raisonnable.

Cette réduction semble contestable eu égard à la nature des données concernées. En effet, la violation a rendu accessible des documents officiels tels que des justificatifs d’identité (passeports, titres de séjour et cartes d’identité), des bulletins de salaire, des avis d’imposition ou encore des attestations de paiement de la Caisse d’allocations familiales. La société Optical Center a été sanctionnée à hauteur de 250.000 euros pour des données quasi-similaires et moins liées à la vie privée.

Il semblerait que la CNIL ait souhaité faire preuve de pédagogie et ne pas sanctionner durement l’ADEF.

A nouveau, la CNIL sanctionne une entreprise pour un défaut de sécurité permettant via la modification des URL d’avoir accès à de nombreuses données personnelles. Les sanctions à l’encontre des entreprises pour ce défaut de sécurité se multiplient. Depuis l’entrée en application du RGPD, les entreprises, mais aussi désormais leurs sous-traitants, devenus coresponsables, sont tenus de mettre en place une véritable politique de sécurité des données personnelles, sous peine d’amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.