La formation restreinte de la CNIL a prononcé, le 16 novembre 2017, une sanction d'un montant de 25 000 euros à l'encontre de l'éditeur de quatre sites de démarches administratives en ligne ayant laissé librement accessibles les données de ses utilisateurs (CNIL, délibération n° SAN 2017-012, 16 novembre 2017
N° Lexbase : X9546ATQ). Elle a estimé que la société avait manqué à son obligation d'assurer la sécurité et la confidentialité des données de ses clients.
En décembre 2016, la CNIL a été informée de l'existence d'un incident de sécurité ayant conduit à rendre librement accessibles les données personnelles des utilisateurs de plusieurs sites internet permettant d'effectuer des démarches administratives. La Présidente de la CNIL a décidé de diligenter des contrôles en ligne en janvier 2017. Les contrôleurs de la CNIL ont suivi le parcours de démarches administratives proposées par les sites en cause. Ils ont constaté qu'une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s'affichait. En modifiant un numéro dans l'adresse URL de la page récapitulative, ils ont pu accéder aux pages d'autres utilisateurs des différents sites et notamment aux informations qu'elles contenaient : données d'identification, adresse électronique, adresse postale, numéro de téléphone, nom et prénom des parents lorsque la demande portait sur un acte de naissance, et descriptifs des faits dans le cadre des dépôts de plainte. Alertée par les services de la CNIL, la société a pris, en trois jours, les mesures nécessaires permettant de mettre fin à la violation de données. Un contrôle sur place a été réalisé, en février 2017, dans les locaux de la société. Il a permis de constater que le défaut identifié résultait de l'absence de mise en oeuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés. Pour sanctionner la société, la CNIL a estimé qu'il lui appartenait d'être particulièrement vigilante sur la sécurité des données collectées, dès lors qu'elle mettait en ligne des sites internet permettant d'effectuer des démarches administratives et notamment, de traiter des données sensibles ou relatives à des infractions au sens des articles 8 et 9 de la loi "Informatique et Libertés" (loi n° 78-17 du 6 janvier 1978
N° Lexbase : L8794AGS). Cette violation a eu un impact sur les données de plusieurs milliers de personnes, certaines relevant de l'intimité de la vie privée des utilisateurs des sites, ainsi que celle de tierces personnes visées dans les plaintes déposées en ligne et dans les demandes d'actes de naissance. La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de l'incident de sécurité, de sa bonne coopération avec les services de la CNIL ainsi que de la taille de la structure et de son chiffre d'affaires.
© Reproduction interdite, sauf autorisation écrite préalable
