CYBConserver des données personnelles demande des précautions particulières de sécurité. En juin dernier, la CNIL a condamné une association à cause d’une faille dans le code de son site internet. Les URL trop prévisibles permettaient d’accéder directement à des documents confidentiels sans identification.
Négliger la sécurité des données peut coûter cher. L’Association pour le Développement des Foyers (ADEF) l’a appris à ses dépens. Le 21 juin dernier, la Commission nationale de l’informatique et des libertés (CNIL) a condamné l’association à 75 000 euros d’amende. En cause, un défaut de sécurité dans l’accès aux données utilisateurs.
Aucune identification nécessaire
L’ADEF aide les étudiants, les familles monoparentales et les travailleurs migrants à trouver un logement. Le problème remonte au 15 juin 2017, quand la CNIL a été alertée qu’il suffisait de modifier l’URL dans la barre du navigateur pour accéder aux documents des demandeurs. Ces URL étaient prévisibles, ce qui permettait d’accéder à des données confidentielles.
Avis d’imposition, pièces d’identité, titres de séjour, bulletins de salaires, attestations de la CAF… Aucune procédure d’identification n’était réellement nécessaire pour récupérer ces éléments. De la même manière, n’importe quel internaute pouvait accéder à des données personnelles comme les noms, prénoms, dates de naissances, adresses ou coordonnées IBAN.
CP | Sanction de 75 000 euros pour une atteinte à la sécurité des données de demandeurs de logements → https://t.co/PG8K2sZrva pic.twitter.com/EijLvxLWsP
— CNIL (@CNIL) June 28, 2018
42 000 documents vulnérables
La CNIL a procédé à un premier contrôle pour constater l’infraction. Quelques jours plus tard, l’organisme a constaté dans les locaux de l’ADEF que le problème n’était toujours pas réglé. L’association indiquait pourtant « avoir demandé à la société ayant développé son site web d’intervenir », précise la CNIL dans un billet posté sur son site le 28 juin dernier.
Cette faille exposait 42 652 documents personnels sensibles. Dans ces conditions, la CNIL a considéré que l’ADEF avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site. Pour rappel, cette disposition relève de l’article 34 de la loi informatique et liberté.
