Une faille de sécurité sur le site Internet de l’association
La CNIL a été avertie en juin 2017 de l’existence d’une faille de sécurité qui permettait d’avoir librement accès aux données personnelles saisies par les demandeurs de logement lors de démarches d’inscription sur le site, et notamment des avis d’impositions, passeports, cartes d’identité, titres de séjours, bulletins de salaires, etc.
Alors que l’association a été aussitôt avertie, la CNIL a constaté, quelques jours plus tard lors d’un contrôle sur place, que les données étaient toujours accessibles.
L’association avait demandé à la société développant son site web d’intervenir mais rien n’avait encore été fait.
L’amende de 75 000 € vient sanctionner le manquement de l’association à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs du site Internet.
Les URL du site mises en cause
La CNIL relève que l’association, même si elle ne développait pas elle-même le site, n’avait pas pris les mesures de sécurité élémentaires, à savoir empêcher que les URL du site soient prévisibles.
Il était ainsi possible, en modifiant les URL manuellement, d’accéder à des pages et informations normalement réservées à l’utilisateur ou à l’association.
Ce n’est pas sans rappeler la décision rendue au début du mois par la CNIL de sanctionner, pour des faits similaires, une société à 250 000 € d’amende.
Un mois après l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), du chemin semble donc rester avant que nos données personnelles ne soient pleinement protégées.
Mais la CNIL, malgré la gravité de la fuite (données très complètes et intimes / 42 652 documents personnels concernés) retient néanmoins la bonne coopération de l’association lors de la procédure de contrôle.
Les conseils CNIL
Elle profite aussi de cette décision pour donner de petits conseils aux éditeurs :
– utiliser des URL composées de chaînes de caractères aléatoires ;
– ne jamais utiliser de dénomination d’un document dans les URL (carte d’identité, avis d’imposition, etc.) ;
– prévoir une procédure d’identification ou d’authentification dès qu’un utilisateur arrive sur une URL protégée.
Source :
Site officiel de la CNIL