CNIL et RGPD : manquements à la protection des données personnelles
Depuis plusieurs mois, les décisions de condamnation de la CNIL à l’encontre de sociétés et associations pour violation des règles liées au respect des données personnelles se multiplient avec notamment le prononcé d’amendes conséquentes:
Retrouvez les dernières actualités associées aux RGPD commentées par le cabinet PCS Avocat:
- CNIL & Protection des données : les erreurs courantes en matière de RGPD
- Memento RGPD La documentation de traitement de données
- Dernières sanctions de la CNIL en matière de RGPD : «Â La rigolade, c’est terminée »
Le 21 juin dernier, l’Association pour le Développement des Foyers (ADEF), mettant à disposition des logements dans des résidences et foyers notamment pour des étudiants, familles monoparentales et travailleurs migrants a ainsi été condamnée à régler 75 000 euros d’amende pour des manquements graves à la sécurisation et la confidentialité des données personnelles utilisateurs de son site internet.
Mise à jour 2019. Saisie d’une contestation de la décision de l’autorité indépendant, le Conseil d’Etat a confirmé la décision, précisant les peines d’amende et de publicité prononcées étaient proportionnées aux manquements constatés.
Dans sa décision du 17 avril 2019, le conseil d’Etat a indiqué que:
« il résulte de l’instruction que le manquement constaté par la formation restreinte de la CNIL consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l’ADEF, permettant à tout tiers non autorisé d’accéder, au moyen d’une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement.
Eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la CNIL n’a pas infligé à l’ADEF une sanction disproportionnée en prononçant à son encontre une amende d’un montant de 75 000 euros ».
Règlement Général pour la Protection des Données : Manquements à la sécurisation des données
Informé en juin 2017 d’un incident de sécurité permettant d’accéder aux données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur la plateforme en ligne de l’association, la CNIL a procédé à un contrôle.
Cette dernière a constaté « qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF ».
Le mème jour, la CNIL a alerté l’association de cette violation de données à caractère personnel et lui a demandé d’y remédier. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de l’association.
Il a été constaté que les données étaient toujours accessibles, alors que l’association indiquait avoir demandé à la société ayant développé son site web d’intervenir.
A l’image de la décision ayant condamné en début d’année Darty, l’association a vu sa responsabilité engagée au regard de failles de sécurité inhérente au développement de leur site internet auxquelles l’ADEF n’a jamais remédié : la prévisibilité des URL et l’absence de procédure d’identification ou d’authentification des utilisateurs du site internet.
Collecte et traitements de données personnelles : Une variété de critères déterminants
Cette décision remet en lumière la proportionnalité attachée aux différents critères mis en place par la CNIL. En effet, la bonne foi, la coopération sont autant d’éléments pris en compte dans sa décision que notamment :
- l’importance du volume de données concernées – 42 652 documents,
- les délais de réaction suite à la notification et le caractère particulièrement intime et complet des données – des noms, prénoms, dates de naissance, coordonnées postales, statut marital ou encore leur nombre d’enfants ;
- le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ;
- des IBAN (références bancaires) ;
- des données relevant de la vie privée : salaire, revenu fiscal de référence, versement d’une aide personnalisée au logement ou d’une allocation aux adultes handicapés.
En l’espèce, ce sont ces deux derniers critères qui ont emporté la condamnation de la société.
Par cette décision, la CNIL rappelle à nouveau le principe de responsabilité des propriétaires de sites internet qui ne peut se borner à de simples diligences de complaisances.