RGPD & Données personnelles : Alliance Française condamné par la CNIL – 30 000 euros
Par une délibération du 6 septembre dernier, la CNIL a prononcé une sanction de 30 000 euros à l’encontre de l’association de l’Alliance française Paris Ile de France, association chargée d’accompagner chaque année 90 000 personnes dans l’apprentissage du français.
Sanction de la CNIL : URL manipulable et Absence de réactivité
Informée en 2017 de l’existence d’un incident de sécurité sur sa plateforme en ligne rendant librement accessible les données des personnes suivant des cours de français, la CNIL a procédé a pu constater que la modification d’un numéro dans l’adresse URL permettait d’échanger les comptes utilisateurs et télécharger des documents des données personnelles, tels que des factures, des certificats d’inscription ou des récapitulatifs des cours suivis.
Plus de 400 000 documents étaient ainsi accessible au cours d’un contrôle au sein des locaux de l’association lancé début 2018. En dépit de la persistance du problème plusieurs semaine après, l’association s’est empressée d’informer la CNIL de la résolution de la faille informatique début mars.
RGPD : Des mesures élémentaires de sécurité et une responsable malgré la sous-traitance
À travers sa décision, la CNIL précise des lacunes des procédures de l’Alliance française Paris Ile de France. Elle a ainsi précisé que des mesures élémentaires de sécurité auraient dû ètre mise en place : une procédure d’identification ou d’authentification des utilisateurs du site internet qui aurait pu ètre complétée par un dispositif permettant d’éviter la prévisibilité des URL
La décision de la CNIL rappelle un élément important de la protection des données personnelles : bien que l’origine de la faille se trouve dans une erreur commise par un sous-traitant informatique, cet argument ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.
Ces critères auront vocation à justifier une sanction future probable de la plateforme InfoGreffe dont des failles de sécurité ont également été récemment découvertes.
RGPD & Alliance française – Extraits de la décision
« En premier lieu, la formation restreinte rappelle que l’absence de plaintes émanant d’utilisateurs et le fait que les données accessibles ne contiennent aucune donnée pouvant ètre qualifiée de sensible, au sens de l’article 8 de la loi Informatique et Libertés , sont sans influence sur la caractérisation du manquement à l’obligation incombant à un responsable de traitement d’assurer la sécurité des données qu’il traite. Elle souligne en outre que la violation de données a concerné un nombre important de documents contenant tous des données identifiants tels que le nom, le prénom et l’adresse postale.
En deuxième lieu, s’agissant de la réactivité de l’association pour mettre fin à la violation de données, la formation restreinte note que dès le 4 décembre 2017, la délégation de contrôle de la CNIL a adressé à l’association un courriel faisant état de l’existence de la violation de données et qui contenait le type d’adresse URL à l’origine de cette violation. Elle était donc, dès cette date, en mesure de commencer des investigations sur son sous-domaine. La formation restreinte souligne que contrairement à ce que soutient l’association, il n’a pas été mis fin à la violation de données le 20 décembre 2017 puisque la délégation de la CNIL a constaté sa persistance une première fois lors du contrôle sur place du 5 février 2018 puis une seconde fois lors du contrôle en ligne du 23 février 2018. Ce n’est que le 2 mars 2018 que l’association a informé la CNIL qu’il avait été mis définitivement fin à la violation de données.
En troisième lieu, la formation restreinte estime que la gravité du manquement est caractérisée, notamment au regard du caractère élémentaire de l’incident de sécurité constitué par l’absence de mesures d’authentification des personnes accédant aux documents et par le caractère prévisible des adresses URL permettant de les télécharger.
Au regard des éléments développés ci-dessus, les faits constatés et le manquement constitué à l’article 34 de la loi du 6 janvier 1978 modifiée justifient que soit prononcée une sanction d’un montant de 30.000 (trente mille) euros.
Enfin, la formation restreinte considère qu’au regard de la gravité du manquement précité, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données, il y a lieu de rendre publique sa décision ».