Skip to main content

Atteinte à la sécurité des données de demandeurs de logements : la sanction de la Cnil ...

Le Conseil d'Etat retient qu'au vu de la nature et à la gravité du manquement constaté, la formation restreinte de la Cnil n'a pas infligé une sanction disproportionnée à l'encontre d'une association pour manquement à son obligation de préserver la sécurité et la confidentialité des données personnelles des demandeurs de logement qu'elle détenait.

Le Conseil d’Etat retient qu’au vu de la nature et à la gravité du manquement constaté, la formation restreinte de la Cnil n’a pas infligé une sanction disproportionnée à l’encontre d’une association pour manquement à son obligation de préserver la sécurité et la confidentialité des données personnelles des demandeurs de logement qu’elle détenait.

Par une délibération du 21 juin 2018, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a infligé à l’Association pour le développement des foyers (Adef) une sanction pécuniaire de 75.000 € et a décidé de rendre cette sanction publique pendant une durée de 2 ans à compter de sa publication.Elle a estimé que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site et que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site.
Dans un arrêt du 17 avril 2019, le Conseil d’Etat rejette la demande d’annulation de cette décision faite par l’association.Il relève que le manquement constaté par la Cnil « consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l’Adef, permettant à tout tiers non autorisé d’accéder, au moyen d’une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement. Il apparaît que ces documents, bulletins de salaires, avis d’imposition, justificatifs d’identité, contiennent des données personnelles. »La Haute juridiction administrative considère qu' »eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil n’a pas infligé à l’Adef une sanction disproportionnée ».

– Conseil d’Etat, 10ème – 9ème chambres réunies, 17 avril 2019 (requête n° 423559 – ECLI:FR:CECHR:2019:423559.20190417), association pour le développement des foyers (Adef) – https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000038388017&fastReqId=1764566871&fastPos=1
– Délibération de la formation restreinte n° SAN-2018-003 du 21 juin 2018 prononçant une sanction pécuniaire à l’encontre de l’Association pour le Développement des Foyers – https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000038388017&fastReqId=1764566871&fastPos=1