Sans mise en demeure préalable, la CNIL vient d’infliger une sanction de 75 000 euros à une association gérant des demandes de logement. L’autorité administrative lui reproche d’avoir « insuffisamment protégé les données des utilisateurs de son site Internet » en se dispensant de « mesures élémentaires » de sécurité.
Passeports, titres de séjour, cartes d’identité, bulletins de salaire, avis d’imposition ou encore attestations de paiement des Allocations familiales. Voilà le type de documents officiels auxquels ont pu librement accéder, en juin 2017, les agents de la Commission nationale de l’informatique et des libertés (CNIL), dans le cadre d’un contrôle en ligne visant le site Internet de l’Association pour le développement des foyers (ADEF).
Quelques jours plus tôt, la gardienne des données personnelles avait été alertée de l’existence d’un « défaut de sécurité » affectant le site l’association, qui propose des logements à des personnes en difficulté sociale (étudiants, familles monoparentales, travailleurs migrants...).
Des fichiers accessibles par modification d’URL ou via une recherche Google
Les agents de la CNIL ont constaté qu’en effectuant une demande de logement en ligne, une simple « modification du chemin de l’URL affichée dans le navigateur » permettait « d’accéder aux documents enregistrés par d’autres demandeurs ». La faille est loin d’être bénigne : plus de 40 000 fichiers sont exposés.
Pire encore, en effectuant une recherche de type « site:adef-logement.fr filetype:pdf impot » sur Google, des avis d’imposition figuraient dans la liste des résultats affichés par le moteur...
Quand bien même l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016) a rapidement demandé à son prestataire de colmater la brèche, la CNIL a décidé début 2018 d’ouvrir une procédure de sanction.
Une faille qui résulte d’un manquement aux règles « élémentaires » de sécurité
Et pour cause : cette fuite n’aurait pas eu lieu si l’ADEF avait déployé des « mesures élémentaires » de sécurité « qui, au surplus, ne requéraient pas de développements importants, ni coûteux », déplore la CNIL au travers d’une décision rendue publique jeudi 28 juin.
L’autorité administrative indépendante estime qu’un « dispositif permettant d’éviter la prévisibilité des URL » aurait dû être mis en place, de même qu’une « fonction modifiant la dénomination des fichiers enregistrés par les personnes, lors du téléversement de ceux-ci sur son répertoire de stockage, afin d’éviter qu’une personne n’identifie le chemin d’accès aux dossiers enregistrés ».
La commission souligne en outre que l’intégration d’une procédure d’authentification des utilisateurs du site (par exemple via un système e) relevait d’une « précaution d’usage essentielle », qui aurait permis d’une certaine manière de limiter la casse.
Pour l’institution, ces fautes constituent un manquement à l’obligation qui incombe à chaque responsable de traitement de « prendre toutes précautions utiles (...) pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Pour justifier cette procédure de sanction, la CNIL souligne qu’il était possible d’exploiter les fichiers en question sans « aucune compétence technique particulière » :
« Pour accéder aux documents d’autres clients, il suffisait de modifier le chemin des URL des formulaires de demande qui contenaient le nom du document enregistré par la personne. Ainsi, il était particulièrement aisé pour une personne d’inscrire dans une URL le nom d’un document qu’elle souhaitait voir afficher, tel qu’un bulletin de salaire ou une carte d’identité. La formation restreinte rappelle également que les données étaient librement accessibles en effectuant une recherche au sein du moteur de recherche Google, augmentant ainsi le risque que l’incident soit exploité par des tiers non autorisés. »
Certaines des informations accessibles étaient surtout relativement intrusives puisqu’elles permettaient « de connaître le salaire des personnes, leur revenu fiscal de référence, leur statut marital ou leur nombre d’enfants et de savoir si elles perçoivent l’aide personnalisée au logement ».
Sanction sans mise en demeure préalable, nouveauté introduite par la loi Numérique
Pour éviter l’amende de 150 000 euros préconisée par le rapporteur de la CNIL, l’ADEF a tenté d’invoquer la nullité de la procédure, au motif qu’aucune mise en demeure ne lui avait été adressée. L’autorité administrative a toutefois balayé cet argument, expliquant que depuis de la loi Numérique de 2016, elle pouvait prononcer « une sanction pécuniaire sans mise en demeure préalable ».
Auparavant, reconnait néanmoins la Commission, « la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement ».
Estimant que l’association avait « réagi rapidement » en mettant en place des mesures correctrices « dans un délai raisonnable après avoir été alertée par la CNIL », et au regard de sa coopération, l’autorité administrative a finalement opté le 21 juin dernier pour une sanction publique de 75 000 euros.
