Focus sur l’affaire
En novembre 2017, la CNIL est informé d’un incident de sécurité sur le site Internet d’une association, organisme gérant d’une école d’enseignement supérieur privée, qui conduisait à rendre accessible les données à caractère personnel d’étudiants suivants des cours de français.
Un contrôle en ligne effectué un mois plus tard avait permis à la CNIL de constater qu’en modifiant un numéro dans une URL il lui était possible de télécharger des documents tels que des factures, certificats d’inscription ou récapitulatif des cours suivis, données somme-toute peu sensibles.
Après un premier contrôle sur place début 2018, au cours duquel la CNIL constate que plus de 400 000 documents sont concernés par l’incident de sécurité, un second contrôle, quelques semaines plus tard, révèle que la faille est toujours d’actualité.
C’en est trop pour la CNIL, qui sanctionne l’organisme pour méconnaissance de l’article 34 de la Loi Informatiques et Libertés.
Faible sanctions pour des pratiques persistantes
L’association est sanctionnée par une amende administrative de 30 000 €. Pour rappel, l’article 34 de la Loi Informatiques et Libertés, qui n’a pas eu besoin d’être modifié suite à l’entrée en vigueur du Règlement Général sur la Protection des Données du 25 mai 2018, dispose que :
“Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès”
L’organisme ne respectait donc pas une obligation pourtant présente dans la loi (et applicable) depuis 2004 …
Ce n’est malheureusement pas le seul puisque depuis le début de l’année, la CNIL a déjà prononcé deux sanctions pour les mêmes faits (notamment son amende record).
L’actualité a par ailleurs mise en lumière certaines violations de données post RGPD causées, elles-aussi, par un défaut des URL de sites Internet.
Ce n’est pourtant pas faute pour la CNIL d’avertir les professionnels sur le danger potentiel des URL prédictives, notamment dans la fiche n°9 de son “Guide de la sécurité des données personnelles” ainsi que dans sa grille d’évaluation du niveau de sécurité des données.
Source :
Site officiel de la CNIL