Cnil : sanction pour atteinte à la sécurité des données de demandeurs de logements

Actualités Legalnews ©

En juin 2017, la Commission nationale de l’informatique et des libertés (Cnil) a été informée d’un incident de sécurité au sein du site internet de l’association pour le développement des foyers (Adef), conduisant à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription en ligne.

L’association, qui a met à disposition des étudiants, des familles monoparentales et des travailleurs migrants des logements dans des résidences et dans des foyers, a subi un contrôle en ligne au cours duquel la Cnil a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs.

Après avoir adressée à l’intéressée une demande afin de remédier à ce dysfonctionnement et n’ayant constaté aucun changement, la Cnil a, le 21 juin 2018, prononcé une sanction pécuniaire de 75.000 €.

Elle a estimé que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site et que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site.
La Cnil a précisé que l’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL et aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs. Or, de nombreuses données d’identification des utilisateurs du site étaient accessibles, certaines relevant de la vie privée.

Compte tenu de cette gravité et du caractère particulièrement intime et complet des données concernées, la Cnil a rendu publique sa décision.