Sécurité informatique, données personnelles

Récemment, la Commission nationale de l’informatique et des libertés (Cnil) a sanctionné plusieurs associations pour atteinte à la sécurité des données personnelles. Dans une de ces affaires, la Cnil a prononcé une amende de 30 000 € à l’encontre d’une association qui avait insuffisamment sécurisé les données des personnes suivant des cours de français qu’elle dispensait.

En effet, la Cnil à découvert, après avoir effectué un contrôle en ligne du site internet de l’association, qu’il était possible de télécharger un grand nombre de documents contenant des données personnelles (factures, certificats d’inscription…) en modifiant un numéro d’identification.

Contenu dans une URL correspondant à l’espace utilisateur. Un contrôle effectué dans les locaux de l’association a ainsi permis de constater que cette violation donnait accès à plus de 400 000 documents. Pour la Cnil l’association n’a pas pris les mesures élémentaires de sécurité et a manqué de diligence dans la résolution de la violation. Attention car, pour la Cnil, le fait qu’une violation de données ait pour origine une erreur commise par un sous-traitant ne dispense pas le responsable de traitement (l’association) d’assurer un suivi rigoureux des actions menées par celui-ci.

Cnil, délibération n° SAN-2018-010 du 6 septembre 2018

Source Associations mode d’emploi n°205,  Janvier 2019