Associations : vous devez protéger les données personnelles de vos membres
Partager l’article
Les associations qui ne prennent pas les mesures nécessaires pour protéger les données personnelles qui leur sont confiées risquent de se voir sévèrement sanctionner par la Cnil.
Le Conseil d’État vient de confirmer la condamnation d’une association à une sanction de 75 000 € pour ne pas avoir suffisamment sécurisé les données personnelles de ses bénéficiaires.
Cette association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Commission nationale de l’informatique et des libertés (Cnil) avait constaté qu’il était possible, à partir du site internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire, avis d’imposition…). Pour cela, il suffisait de changer un mot dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.
Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association compte tenu de la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et du nombre de personnes et de documents visés (plusieurs centaines). De plus, pour la Cnil, ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants, ni coûteux.
L’association avait contesté cette décision en invoquant la disproportion entre les manquements constatés et le montant élevé de l’amende prononcé par la Cnil. Mais le Conseil d’État a considéré que cette sanction était adéquate au vu notamment de la nature et de la gravité du manquement qu’il aurait été facile de prévenir par des mesures simples de sécurité ainsi que des moyens importants dont disposait l’association (environ 270 salariés et un chiffre d’affaires de 37,6 M€ en 2016).
Le Conseil d’État a également confirmé la publication pendant 2 ans de la décision de la Cnil. Une sanction qui est justifiée par la gravité du manquement et la quantité de données personnelles concernées et qui permet, à la fois, de jouer un rôle dissuasif et d’informer les bénéficiaires de l’association des risques encourus et de la correction de la défaillance.
Mots clés : Actualité Juridique
Auteur : Sandrine Thomas
Date : 2019-06-24 12:00:00
À découvrir également
Locaux disponibles à Strasbourg ! 23 Mai 2024
Des bureaux sont désormais disponibles au 3 rue des Cigognes à ENTZHEIM, idéalement situés pour répondre à vos besoins professionnels !
Iloos Informatique, nouveau partenaire du Groupe Hans ! 23 Avr 2024
Iloos Informatique, récemment intégrée au groupe Hans, est présentée par ses co-fondateurs Olivier Stoffel et Vincent Bloch. Cette entreprise, fondée en 2003, est spécialisée dans les services et le commerce informatique, ciblant principalement les entreprises de la région Alsace et de Franche-Comté.
Échange entre Marie-Eve Fleuchey, professeure d’Anglais à l’ESGM & PRO FORMAT et Emmanuel Macron. 23 Avr 2024
Un échange exceptionnel entre Marie-Eve Fleuchey, professeure d'Anglais chez notre partenaire ESGM PRO FORMAT et le Président de la République Emmanuel Macron.
Sorry, the comment form is closed at this time.