L’Adef, association d’aide au logement, vient d’écoper d’une amende de 75 000 euros pour ne pas avoir sécurisé les documents enregistrés par les demandeurs, auxquels une simple modification d’URL permettait d’accéder librement.
C’est toujours la même chanson : on traite des données personnelles, on les expose sur son site et on postule que seul l’internaute concerné y a accès. Alors qu’il n’a suffit aux enquêteurs de la Cnil que de changer quelques caractères dans le chemin de l’URL pour avoir accès aux données d’autres personnes. C’était le cas pour Ouicar, pour Optical Center et maintenant pour l’Adef.
L’association pour le déploiement des foyers, structure francilienne d’aide au logement, vient d’écoper d’une amende de 75 000 euros pour défaut de sécurisation des données des demandeurs. En juin 2017, la Cnil avait diligenté un contrôle dans la foulée. Elle a alors « constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF ».
Multiplication des sanctions et des décisions publiques
L’association est immédiatement avertie et priée de mettre un terme à cette violation de données personnelles. « Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de l’association. Il a été constaté que les données étaient toujours accessibles, alors que l’association indiquait avoir demandé à la société ayant développé son site web d’intervenir » écrit la Cnil.
Estimant que l’Adef aurait dû sécuriser les données des demandeurs de logements, en évitant de mettre dans l’URL d’un document la dénomination de ce document et en mettant en place un système d’authentification, le gendarme des données personnelles a sanctionné l’association. Car ce sont quelques 42 652 documents qui étaient librement accessibles.