Sans mise en demeure préalable, la CNIL vient d’infliger une sanction de 75 000 euros à une association gérant des demandes de logement. L’autorité administrative lui reproche d’avoir « insuffisamment protégé les données des utilisateurs de son site Internet » en se dispensant de « mesures élémentaires » de sécurité.
Passeports, titres de séjour, cartes d’identité, bulletins de salaire, avis d’imposition ou encore attestations de paiement des Allocations familiales. Voilà le type de documents officiels auxquels ont pu librement accéder, en juin 2017, les agents de la Commission nationale de l’informatique et des libertés (CNIL), dans le cadre d’un contrôle en ligne visant le site Internet de l’Association pour le développement des foyers (ADEF).
Quelques jours plus tôt, la gardienne des données personnelles avait été alertée de l’existence d’un « défaut de sécurité » affectant le site l’association, qui propose des logements à des personnes en difficulté sociale (étudiants, familles monoparentales, travailleurs migrants...).
Des fichiers accessibles par modification d’URL ou via une recherche Google
Les agents de la CNIL ont constaté qu’en effectuant une demande de logement en ligne, une simple « modification du chemin de l’URL affichée dans le navigateur » permettait « d’accéder aux documents enregistrés par d’autres demandeurs ». La faille est loin d’être bénigne : plus de 40 000 fichiers sont exposés.
Pire encore, en effectuant une recherche de type « site:adef-logement.fr filetype:pdf impot » sur Google, des avis d’imposition figuraient dans la liste des résultats affichés par le moteur...
Quand bien même l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016) a rapidement demandé à son prestataire de colmater la brèche, la CNIL a décidé début 2018 d’ouvrir une procédure de sanction.
Une faille qui résulte d’un manquement aux règles « élémentaires » de sécurité
Et pour cause : cette fuite n’aurait pas eu lieu si l’ADEF avait déployé des « mesures élémentaires » de sécurité « qui, au surplus, ne requéraient pas de développements importants, ni coûteux », déplore la CNIL au travers d’une décision rendue publique jeudi 28 juin.
L’autorité administrative indépendante estime qu’un « dispositif permettant d’éviter la prévisibilité des URL » aurait dû être mis en place, de même qu’une « fonction modifiant la dénomination des fichiers enregistrés par les personnes, lors du téléversement de ceux-ci sur son répertoire de stockage, afin d’éviter qu’une personne n’identifie le chemin d’accès aux dossiers enregistrés ».
La commission souligne en outre que l’intégration d’une procédure d’authentification des utilisateurs du site (par exemple via un système e) relevait d’une « précaution d’usage essentielle », qui aurait permis d’une certaine manière de limiter la casse.
Pour l’institution, ces fautes constituent un manquement à l’obligation qui incombe à chaque responsable de traitement de « prendre toutes précautions utiles (...) pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Pour justifier cette procédure de sanction, la CNIL souligne qu’il était possible d’exploiter les fichiers en question sans « aucune compétence technique particulière » :
« Pour accéder aux documents d’autres clients, il suffisait de modifier le chemin des URL des formulaires de demande qui contenaient le nom du document enregistré par la personne. Ainsi, il était particulièrement aisé pour une personne d’inscrire dans une URL le nom d’un document qu’elle souhaitait voir afficher, tel qu’un bulletin de salaire ou une carte d’identité. La formation restreinte rappelle également que les données étaient librement accessibles en effectuant une recherche au sein du moteur de recherche Google, augmentant ainsi le risque que l’incident soit exploité par des tiers non autorisés. »
Certaines des informations accessibles étaient surtout relativement intrusives puisqu’elles permettaient « de connaître le salaire des personnes, leur revenu fiscal de référence, leur statut marital ou leur nombre d’enfants et de savoir si elles perçoivent l’aide personnalisée au logement ».
Sanction sans mise en demeure préalable, nouveauté introduite par la loi Numérique
Pour éviter l’amende de 150 000 euros préconisée par le rapporteur de la CNIL, l’ADEF a tenté d’invoquer la nullité de la procédure, au motif qu’aucune mise en demeure ne lui avait été adressée. L’autorité administrative a toutefois balayé cet argument, expliquant que depuis de la loi Numérique de 2016, elle pouvait prononcer « une sanction pécuniaire sans mise en demeure préalable ».
Auparavant, reconnait néanmoins la Commission, « la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement ».
Estimant que l’association avait « réagi rapidement » en mettant en place des mesures correctrices « dans un délai raisonnable après avoir été alertée par la CNIL », et au regard de sa coopération, l’autorité administrative a finalement opté le 21 juin dernier pour une sanction publique de 75 000 euros.
Commentaires (30)
#1
Vu qu’elle est passée par un prestataire, l’association peut elle se retourner contre lui? A moins que cela ne fasse pas partie du cahier des charges…
C’est quand même fou de voir ce genre d’ânerie en 2018, surtout vu le nombre de données “sensibles” demandées.
#2
C’est une faute du prestataire clairement, même si le cahier des charges ne le précise pas, il y a des règles de sécurité à respecter, surtout si on traite des données de ce type…
Et là, c’est vraiment de la sécurité élémentaire qui n’est pas respectée, j’aimerais connaitre le nom du prestataire tiens…
#3
#4
#5
Leur slogan :
" />
On fait du digital passionnément et comme on l’aime
Ca pourrait être celui de la Fistinière
#6
#7
Les deux sont responsables, sinon c’est trop facile, et puis meme l’Etat est responsable “défaut de réglementation pour la protection de données personnelles”
Et Cdiscount, pas d’amende ?
#8
C’est vrai, quid du prestataire ?
Autant l’ADEF a sa part des responsabilité dans l’histoire. Mais le prestataire n’est pas tout blanc non plus…
#9
Je pense que c’est à l’ADEF de se retourner contre son prestataire si nécessaire.
#10
Le manque de sécurité est évident, par contre sans mise en demeure préalable et alors que l’association (qui travaille dans le logement social) a réagi rapido tout comme son prestataire, infliger une amende de ce montant est ridicule.
Après n’avoir rien fait pendant des années, elle a fini par taper très doucement sur Facebook et quelques GAFAS, pour aujourd’hui frapper lourdement sur un acteur du logement social… pas certain que la cible soit prioritaire et que le message soit entendu autrement que comme étant une sanction disproportionnée.
S’agissant du recours de l’ADEF contre son prestataire c’est loin très loin d’être évident, cela implique de savoir ce qui avait été convenu à l’origine, puis d’apporter la démonstration technique que le manquement était évident par rapport aux règles de l’art pour convaincre le Juge, ce qui à mon avis va nécessité l’intervention d’un expert.
D’ailleurs ce dernier aspect devrait à mon sens conduire l’ADEF à contester la décision devant le Conseil d’Etat, pas sur le manquement qui semble avéré, mais sur l’importance de la sanction et l’appréciation plus que sévère s’agissant de l’individualisation de la sanction principe conventionnel (peut-être l’occasion pour le Conseil d’Etat de reconnaître le principe de l’individualisation administrative déjà reconnue en matière pénitentiaire).
#11
La nature très sensible des documents rendus disponibles a du fortement jouer sur la sévérité de la condamnation (et encore, l’article précise que le rapport préconisait la sanction maximale). On parle d’avis d’impôts, bulletins de salaires, documents d’identités, accessibles via une recherche Google… Ce n’est pas rien.
#12
#13
Pire encore, en effectuant une recherche de type « site:adef-logement.fr filetype:pdf impot » sur Google, des avis d’imposition figuraient dans la liste des résultats affichés par le moteur…
#14
#15
#16
#17
#18
#19
L’association travail dans LE logement social, pas dans UN logement social.
Sinon faut lire l’article, troisième paragraphe.
On peut faire du CA, mais pas du bénéfice.
#20
Comme d’hab, il y a le principe et la réalité
" />
#21
Tout à fait ! La réalité c’est que le client lui il veut ça et pour pas cher et ça fait souvent mal au cul du presta qui préfère largement fournir un travail dont il est fier.
Du coup on fournit la fonctionnalité pour le prix qu’il veut en se passant des “détails”.
Mais je suis tout à fait d’accord, ce n’est pas une excuse. Ce type d’amendes va pousser les clients à réfléchir à deux fois et à investir le budget qu’il faut pour ne pas se retrouver dans ce genre de situation.
#22
#23
#24
L’association en question fait 1,38M€ de bénéfices et dispose de 9,2M€ de disponibilités.
#25
L’objectif de la CNIL c’est que la réglementation sur la protection des données persos soit appliquée par tous. Pas que les gens attendent que la CNIL les notifie pour faire juste le minimum…
#26
#27
bonjour,
Je pense que c’est aussi en rapport avec le volume de leur activité :
[…]l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016)[…]
C’est pas la petite association de quartier apriori …
#28
#29
Il me semble que 150 000€ est le maximum que la CNIL peut infliger en cas de premier manquement condamné.
Les 300 000€, ou 5% du CA pour une entreprise (dans la limite des 300k, toujours), sont en cas de récidive sur une période inférieure à 5 ans depuis la précédente sanction.
Dans tous les cas, c’est ridicule vis à vis des groupes qui brassent des miyards.
#30