Cnil : sanction pour atteinte à la sécurité des données de demandeurs de logements

La Cnil a prononcé une sanction de 75.000 € à l’encontre de l’Association pour le développement des foyers (Adef) pour protection insuffisantes des données des utilisateurs de son site internet.

En juin 2017, la Commission nationale de l’informatique et des libertés (Cnil) a été informée d’un incident de sécurité au sein du site internet de l’association pour le développement des foyers (Adef), conduisant à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription en ligne.
L’association, qui a met à disposition des étudiants, des familles monoparentales et des travailleurs migrants des logements dans des résidences et dans des foyers, a subi un contrôle en ligne au cours duquel la Cnil a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs.
Après avoir adressée à l’intéressée une demande afin de remédier à ce dysfonctionnement et n’ayant constaté aucun changement, la Cnil a, le 21 juin 2018, prononcé une sanction pécuniaire de 75.000 €.
Elle a estimé que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site et que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site. La Cnil a précisé que l’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL et aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs. Or, de nombreuses données d’identification des utilisateurs du site étaient accessibles, certaines relevant de la vie privée.
Compte tenu de cette gravité et du caractère particulièrement intime et complet des données concernées, la Cnil a rendu publique sa décision.

– Communiqué de presse de la Cnil du 28 juin 2018 – « Sanction de 75 000 euros pour une atteinte à la sécurité des données de demandeurs de logements » – https://www.cnil.fr/fr/sanction-de-75-000-euros-pour-une-atteinte-la-securite-des-donnees-de-demandeurs-de-logements
– Délibération n° 2018-003 du 21 juin 2018 Délibération de la formation restreinte n° SAN-2018-003 du 21 juin 2018 prononçant une sanction pécuniaire à l’encontre de l’Association pour le Développement des Foyers – https://www.cnil.fr/fr/sanction-de-75-000-euros-pour-une-atteinte-la-securite-des-donnees-de-demandeurs-de-logements