RGPD, une association sanctionnée pour défaut de protection des données
Date : 21/10/2020 Auteur : | essentia-performance.fr |
Imprimer
|
Le 6 octobre 2018, la CNIL a prononcé une sanction de 30.000 euros soit 0,34% de son chiffre d'affaires) à l’encontre de l’association Alliance Française Paris Île de France pour défaut de protection des données personnelles de ses utilisateurs.
L'Alliance Francaise Paris Ile de France est une association qui forme chaque année près de 100.000 personnes à l'apprentissage du francais. Établissement privé d'enseignement supérieur, organisme de formation reconnu, l'Alliance française Paris Île-de-France est une association loi de 1901 reconnue d'utilité publique. Cette association existe depuis le 10 mars 1884.
Les faits
La CNIL a été informée en 2017 de l'existence d'un incident de sécurité concernant le site de l'association. L'autorité explique dans un communiqué qu'« Un contrôle en ligne effectué en décembre 2017 a permis de constater qu’en modifiant un numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur ». « Il était possible de télécharger des documents contenant des données personnelles, tels que des factures, des certificats d’inscription ou des récapitulatifs des cours suivis ».
Le site internet de l'Alliance Française permet d'échanger des documents entre la structure et les personnes suivant des cours de français. En modifiant seulement un numéro dans l'adresse URL, l'utilisateur du site pouvait consulter et télécharger des documents d'autres comptes utilisateurs (factures, certificats d'inscription, adresse et coordonnées, certificats d'inscriptions ...). Plus de 400.000 documents étaient ainsi accessibles au cours du contrôle de la CNIL lancé début 2018.
Dans sa décision, la CNIL pointe les failles dans l'organisation des procédures de l'association
- La procédure d'identification mise en place sur le site n'était pas suffisamment robuste notamment quand à la prévisibilité de l'adresse URL, celle-ci étant manipulable simplement,
- Un manque de réactivité dans la gestion du problème par l'association,
- La mise en évidence de la responsabilité de l'Alliance Française dans le défaut de contrôle des travaux du sous-traitant ayant développé le site.
L'article 32 du RGPD précise quelles mesures techniques et organisationnelles doivent être mises en oeuvre par le responsable de traitement pour garantir un niveau de sécurité approprié concernant les données personnelles collectées en particulier :
- la pseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Bibliographie
- CNIL délibération n°2018-010 du 6 septembre 2018 prononçant la sanction à l'encontre de l'association
- Lien vers l'article 32 du RGPD
- 20/11 - Bpifrance Prêt Croissance TPE
- 11/11 - Focus sur la fraude au Président
- 21/10 - RGPD, une association sanctionnée pour défaut de protection des données
- 05/10 - Plan de Relance : les mesures en faveur des associations
- 01/10 - RGPD - H&M, une amende de 35 millions d'euros pour surveillance illégale des salariés
