Actu
alités

Associations : avez-vous protégé les données personnelles de vos membres ?

Actualités
19/11/2018

Les associations doivent prendre les mesures nécessaires pour protéger les données personnelles qui lui sont confiées, au risque de se voir sanctionner par la Cnil.

Deux associations viennent d’être condamnées à de lourdes peines d’amendes par la Commission nationale de l’informatique et des libertés (Cnil) pour ne pas avoir suffisamment sécurisé les données personnelles de leurs bénéficiaires.

Dans la première affaire, une association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Cnil avait constaté qu’il était possible, à partir du site Internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire…). Pour cela, il suffisait de changer un mot présent dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site Internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.

Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association. Une sanction sévère justifiée par la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et par le nombre de personnes et de documents visés (plusieurs centaines).

Par ailleurs, la Cnil a considéré que ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants ni coûteux.

Dans la seconde affaire, la Cnil avait constaté qu’il était possible, en modifiant une URL, de télécharger des dizaines de milliers de documents (factures, certificat d’inscription à un stage…) à partir du site Internet d’une association qui dispensait des cours de français. Des documents comportant tous un nom et un prénom, et parfois, une adresse postale et une nationalité.

Pour ne pas avoir mis en place les mesures de sécurité suffisantes pour protéger les données personnelles de ses élèves, l’association a été condamnée à une amende de 30 000 €. Pour la Cnil, le défaut de sécurité pouvait être facilement corrigé par l’association et cette faille pouvait être exploitée par des personnes n’ayant aucune compétence informatique. De plus, l’association, qui avait été prévenue début décembre 2017 de ce problème, n’y avait mis fin que 3 mois plus tard. Enfin, elle a rappelé que l’association, en tant que responsable de traitement, ne pouvait invoquer les fautes de son sous-traitant pour se dédouaner.

À savoir : prenant en considération le « contexte actuel dans lequel se multiplient les incidents de sécurité et la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données », la Cnil a décidé de publier ces deux décisions.

Délibération n° SAN-2018-003 du 21 juin 2018
Délibération n° SAN-2018-010 du 6 septembre 2018

©  Les Echos Publishing - 2018
Toutes les autres actualités

#Agenda

Toutes les autres échéances

Contactez
nous

Accès formulaire détaillé
Experts-partenaires
Experts-partenaires
Experts-partenaires
Notre bureau de Seyssinet-pariset
7 rue de la poste
38170 Seyssinet-pariset
Experts-partenaires
Notre bureau de Saint jean de soudain
489 route de Lyon
38110 Saint jean de soudain
Experts-partenaires
Notre bureau de Lans en vercors
698 route du Villard
38250 Lans en vercors
04 76 04 04 04