Download PDF

Faits : Signalement adressé à la CNIL qui effectue un contrôle en ligne et alerte l’ADEF d’une violation de données personnelles (modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF, NIR, IBAN, etc. des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association) et lui demande d’y remédier. Quelques jours plus tard, la CNIL constate que, malgré que l’ADEF ait demandé à la société ayant développé son site web d’intervenir, les données sont toujours accessibles.

Obligation de sécurité et confidentialité des données personnelles : des mesures élémentaires en amont du développement du site auraient pu éviter la violation : mettre en place un dispositif permettant d’éviter la prévisibilité des url et d’une procédure d’authentification des utilisateurs du site web.

Sanction : elle aurait certainement été plus élevée si l’ADEF n’avait pas coopéré avec la cnil.

Publication de la décision : compte-tenu de la gravité de la situation liée au libre accès et au volume de documents (42652) et vu le caractère intime et complet des données concernées

Share on LinkedInTweet about this on TwitterShare on Google+Email this to someone