Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable

Demeure un autre jour
Droit 4 min
CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable
Crédits : Xavier Berne

Sans mise en demeure préalable, la CNIL vient d’infliger une sanction de 75 000 euros à une association gérant des demandes de logement. L’autorité administrative lui reproche d’avoir « insuffisamment protégé les données des utilisateurs de son site Internet » en se dispensant de « mesures élémentaires » de sécurité.

Passeports, titres de séjour, cartes d’identité, bulletins de salaire, avis d’imposition ou encore attestations de paiement des Allocations familiales. Voilà le type de documents officiels auxquels ont pu librement accéder, en juin 2017, les agents de la Commission nationale de l’informatique et des libertés (CNIL), dans le cadre d’un contrôle en ligne visant le site Internet de l’Association pour le développement des foyers (ADEF).

Quelques jours plus tôt, la gardienne des données personnelles avait été alertée de l’existence d’un « défaut de sécurité » affectant le site l’association, qui propose des logements à des personnes en difficulté sociale (étudiants, familles monoparentales, travailleurs migrants...).

Des fichiers accessibles par modification d’URL ou via une recherche Google

Les agents de la CNIL ont constaté qu’en effectuant une demande de logement en ligne, une simple « modification du chemin de l’URL affichée dans le navigateur » permettait « d’accéder aux documents enregistrés par d’autres demandeurs ». La faille est loin d’être bénigne : plus de 40 000 fichiers sont exposés.

Pire encore, en effectuant une recherche de type « site:adef-logement.fr filetype:pdf impot » sur Google, des avis d’imposition figuraient dans la liste des résultats affichés par le moteur...

Quand bien même l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016) a rapidement demandé à son prestataire de colmater la brèche, la CNIL a décidé début 2018 d’ouvrir une procédure de sanction.

Une faille qui résulte d’un manquement aux règles « élémentaires » de sécurité

Et pour cause : cette fuite n’aurait pas eu lieu si l’ADEF avait déployé des « mesures élémentaires » de sécurité « qui, au surplus, ne requéraient pas de développements importants, ni coûteux », déplore la CNIL au travers d’une décision rendue publique jeudi 28 juin.

L’autorité administrative indépendante estime qu’un « dispositif permettant d’éviter la prévisibilité des URL » aurait dû être mis en place, de même qu’une « fonction modifiant la dénomination des fichiers enregistrés par les personnes, lors du téléversement de ceux-ci sur son répertoire de stockage, afin d’éviter qu’une personne n’identifie le chemin d’accès aux dossiers enregistrés ».

La commission souligne en outre que l’intégration d’une procédure d’authentification des utilisateurs du site (par exemple via un système d'identifiant/mot de passe) relevait d’une « précaution d’usage essentielle », qui aurait permis d’une certaine manière de limiter la casse.

adef
Crédits : ADEF

Pour l’institution, ces fautes constituent un manquement à l’obligation qui incombe à chaque responsable de traitement de « prendre toutes précautions utiles (...) pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Pour justifier cette procédure de sanction, la CNIL souligne qu’il était possible d’exploiter les fichiers en question sans « aucune compétence technique particulière » :

« Pour accéder aux documents d’autres clients, il suffisait de modifier le chemin des URL des formulaires de demande qui contenaient le nom du document enregistré par la personne. Ainsi, il était particulièrement aisé pour une personne d’inscrire dans une URL le nom d’un document qu’elle souhaitait voir afficher, tel qu’un bulletin de salaire ou une carte d’identité. La formation restreinte rappelle également que les données étaient librement accessibles en effectuant une recherche au sein du moteur de recherche Google, augmentant ainsi le risque que l’incident soit exploité par des tiers non autorisés. »

Certaines des informations accessibles étaient surtout relativement intrusives puisqu’elles permettaient « de connaître le salaire des personnes, leur revenu fiscal de référence, leur statut marital ou leur nombre d’enfants et de savoir si elles perçoivent l’aide personnalisée au logement ».

Sanction sans mise en demeure préalable, nouveauté introduite par la loi Numérique

Pour éviter l’amende de 150 000 euros préconisée par le rapporteur de la CNIL, l’ADEF a tenté d’invoquer la nullité de la procédure, au motif qu’aucune mise en demeure ne lui avait été adressée. L’autorité administrative a toutefois balayé cet argument, expliquant que depuis de la loi Numérique de 2016, elle pouvait prononcer « une sanction pécuniaire sans mise en demeure préalable ».

Auparavant, reconnait néanmoins la Commission, « la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement ».

Estimant que l’association avait « réagi rapidement » en mettant en place des mesures correctrices « dans un délai raisonnable après avoir été alertée par la CNIL », et au regard de sa coopération, l’autorité administrative a finalement opté le 21 juin dernier pour une sanction publique de 75 000 euros.

30 commentaires
Avatar de Nerg34 Abonné
Avatar de Nerg34Nerg34- 28/06/18 à 14:02:26

Vu qu'elle est passée par un prestataire, l'association peut elle se retourner contre lui? A moins que cela ne fasse pas partie du cahier des charges...
C'est quand même fou de voir ce genre d’ânerie en 2018, surtout vu le nombre de données "sensibles" demandées.

Avatar de eglyn Abonné
Avatar de eglyneglyn- 28/06/18 à 14:12:38

C'est une faute du prestataire clairement, même si le cahier des charges ne le précise pas, il y a des règles de sécurité à respecter, surtout si on traite des données de ce type...
 Et là, c'est vraiment de la sécurité élémentaire qui n'est pas respectée, j'aimerais connaitre le nom du prestataire tiens...
 

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 28/06/18 à 14:18:53

eglyn a écrit :

C'est une faute du prestataire clairement, même si le cahier des charges ne le précise pas, il y a des règles de sécurité à respecter, surtout si on traite des données de ce type...
Et là, c'est vraiment de la sécurité élémentaire qui n'est pas respectée, j'aimerais connaitre le nom du prestataire tiens...

D'après leur site, et si ça n'a pas changé depuis : Hippocampe.

Avatar de eglyn Abonné
Avatar de eglyneglyn- 28/06/18 à 14:21:10

Mihashi a écrit :

D'après leur site, et si ça n'a pas changé depuis : Hippocampe.

Et bah, en gros sur leur site : INFLUX DIGITAL

ça annonce la couleur au moins :francais:

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 28/06/18 à 14:27:15

 Leur slogan :
 
On fait du digital passionnément et comme on l’aime

Ca pourrait être celui de la Fistinière :bigssourire:

Édité par Jarodd le 28/06/2018 à 14:28
Avatar de Loucheux INpactien
Avatar de LoucheuxLoucheux- 28/06/18 à 14:28:17

eglyn a écrit :

Et bah, en gros sur leur site : INFLUX DIGITAL

ça annonce la couleur au moins :francais:

:mdr2:

Avatar de Naneday INpactien
Avatar de NanedayNaneday- 28/06/18 à 15:35:21

Les deux sont responsables, sinon c'est trop facile, et puis meme l'Etat est responsable "défaut de réglementation pour la protection de données personnelles"

Et Cdiscount, pas d'amende ?

Avatar de Furanku Abonné
Avatar de FurankuFuranku- 28/06/18 à 15:55:15

C'est vrai, quid du prestataire ?
Autant l'ADEF a sa part des responsabilité dans l'histoire. Mais le prestataire n'est pas tout blanc non plus...

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 28/06/18 à 16:01:04

Je pense que c'est à l'ADEF de se retourner contre son prestataire si nécessaire.

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 28/06/18 à 16:36:54

Le manque de sécurité est évident, par contre sans mise en demeure préalable et alors que l'association (qui travaille dans le logement social) a réagi rapido tout comme son prestataire, infliger une amende de ce montant est ridicule.

Après n'avoir rien fait pendant des années, elle a fini par taper très doucement sur Facebook et quelques GAFAS, pour aujourd'hui frapper lourdement sur un acteur du logement social... pas certain que la cible soit prioritaire et que le message soit entendu autrement que comme étant une sanction disproportionnée.

S'agissant du recours de l'ADEF contre son prestataire c'est loin très loin d'être évident, cela implique de savoir ce qui avait été convenu à l'origine, puis d'apporter la démonstration technique que le manquement était évident par rapport aux règles de l'art pour convaincre le Juge, ce qui à mon avis va nécessité l'intervention d'un expert.

D'ailleurs ce dernier aspect devrait à mon sens conduire l'ADEF à contester la décision devant le Conseil d'Etat, pas sur le manquement qui semble avéré, mais sur l'importance de la sanction et l'appréciation plus que sévère s'agissant de l'individualisation de la sanction principe conventionnel (peut-être l'occasion pour le Conseil d'Etat de reconnaître le principe de l'individualisation administrative déjà reconnue en matière pénitentiaire).

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Des fichiers accessibles par modification d’URL ou via une recherche Google
  • Une faille qui résulte d’un manquement aux règles « élémentaires » de sécurité
  • Sanction sans mise en demeure préalable, nouveauté introduite par la loi Numérique
S'abonner à partir de 3,75 €