Le 6 octobre 2018, la CNIL a prononcé une sanction de 30.000 euros soit 0,34% de son chiffre d'affaires) à l’encontre de l’association Alliance Française Paris Île de France pour défaut de protection des données personnelles de ses utilisateurs.
L'Alliance Francaise Paris Ile de France est une association qui forme chaque année près de 100.000 personnes à l'apprentissage du francais. Établissement privé d'enseignement supérieur, organisme de formation reconnu, l'Alliance française Paris Île-de-France est une association loi de 1901 reconnue d'utilité publique. Cette association existe depuis le 10 mars 1884.
Les faits
La CNIL a été informée en 2017 de l'existence d'un incident de sécurité concernant le site de l'association. L'autorité explique dans un communiqué qu'« Un contrôle en ligne effectué en décembre 2017 a permis de constater qu’en modifiant un numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur ». « Il était possible de télécharger des documents contenant des données personnelles, tels que des factures, des certificats d’inscription ou des récapitulatifs des cours suivis ».
Le site internet de l'Alliance Française permet d'échanger des documents entre la structure et les personnes suivant des cours de français. En modifiant seulement un numéro dans l'adresse URL, l'utilisateur du site pouvait consulter et télécharger des documents d'autres comptes utilisateurs (factures, certificats d'inscription, adresse et coordonnées, certificats d'inscriptions ...). Plus de 400.000 documents étaient ainsi accessibles au cours du contrôle de la CNIL lancé début 2018.
Dans sa décision, la CNIL pointe les failles dans l'organisation des procédures de l'association
L'article 32 du RGPD précise quelles mesures techniques et organisationnelles doivent être mises en oeuvre par le responsable de traitement pour garantir un niveau de sécurité approprié concernant les données personnelles collectées en particulier :
Bibliographie
© Copyright 2018 Essentia Performance - All rights reserved.