Les associations qui ne prennent pas les mesures nécessaires pour protéger les données personnelles qui leur sont confiées risquent de se voir sévèrement sanctionner par la Cnil.
Le Conseil d’État vient de confirmer la condamnation d’une association à une sanction de 75 000 € pour ne pas avoir suffisamment sécurisé les données personnelles de ses bénéficiaires.
Cette association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Commission nationale de l’informatique et des libertés (Cnil) avait constaté qu’il était possible, à partir du site internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire, avis d’imposition…). Pour cela, il suffisait de changer un mot dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.
Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association compte tenu de la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et du nombre de personnes et de documents visés (plusieurs centaines). De plus, pour la Cnil, ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants, ni coûteux.
L’association avait contesté cette décision en invoquant la disproportion entre les manquements constatés et le montant élevé de l’amende prononcé par la Cnil. Mais le Conseil d’État a considéré que cette sanction était adéquate au vu notamment de la nature et de la gravité du manquement qu’il aurait été facile de prévenir par des mesures simples de sécurité ainsi que des moyens importants dont disposait l’association (environ 270 salariés et un chiffre d’affaires de 37,6 M€ en 2016).
Le Conseil d’État a également confirmé la publication pendant 2 ans de la décision de la Cnil. Une sanction qui est justifiée par la gravité du manquement et la quantité de données personnelles concernées et qui permet, à la fois, de jouer un rôle dissuasif et d’informer les bénéficiaires de l’association des risques encourus et de la correction de la défaillance.
Délibération n° SAN-2018-003 du 21 juin 2018Conseil d’État, 17 avril 2019, n° 423559