Dans une Délibération du 21 juin 2018, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 75 000€ contre l’Association pour le développement des foyers (ADEF) pour défaut de sécurisation de son site internet et atteinte à la sécurité des données.
L’ADEF a pour mission la mise à disposition de logements dans des résidences et foyers pour les personnes en difficulté sociale, notamment des étudiants, familles monoparentales et travailleurs migrants.
Le 15 juin 2017, un contrôle en ligne été réalisé par la CNIL après avoir été alertée d’un défaut de sécurité permettant d’accéder à des avis d’imposition de demandeurs de logement à partir d’une recherche depuis le moteur de recherche Google.
En simulant une demande de logement, la CNIL a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder aux documents enregistrés par d’autres bénéficiaires.
Le nombre de documents concernés par la violation, parmi lesquels des cartes d’identité, passeports, titres de séjour, bulletins de paie, avis d’imposition, attestations de paiement de la CAF, etc., s’élève à 42 652.
Lors du contrôle sur place, la CNIL a relevé que « les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site »
La CNIL reproche à l’ADEF l’absence de dispositif permettant d’éviter la prévisibilité des URL, ainsi que le défaut de procédure d’identification ou authentification des utilisateurs.
Par conséquent, la CNIL a infligé à l’ADEF une sanction pécuniaire de 75 000€ pour manquement à son obligation d’assurer la sécurité des données au titre de l’article 34 de la loi Informatique et Libertés. La gravité de la violation est caractérisée compte tenu de la nature des données rendues librement accessibles, ainsi que du nombre de documents concernés.
Malgré la bonne coopération de l’ADEF, la CNIL a décidé de rendre publique sa décision dans le but de sensibiliser les responsables de traitement et internautes aux risques afférents à la sécurité des données.
