Sanction de la CNIL à l’encontre d’éditeurs de sites de démarches administratives

La formation restreinte de la CNIL a prononcé une sanction d’un montant de 25 000 euros à l’encontre de l’éditeur de sites de démarches administratives en ligne ayant laissé librement accessibles les données de ses utilisateurs(1).

À la suite de contrôles effectués par la CNIL, il a pu être observé qu’une page récapitulative de la demande s’affichait une fois le formulaire de démarches en ligne renseigné. En modifiant le numéro dans l’adresse URL de cette page, il pouvait être accédé aux pages d’autres utilisateurs des différents sites, et notamment aux informations contenant les données d’identification, les adresses électronique et postale, au numéro de téléphone, au nom et prénom des parents pour les demandes d’acte de naissance et aux descriptifs des faits dans le cadre des dépôts de plainte.

Alertée, la société a mis rapidement fin à la violation de ces données. Cependant, constatant que la société avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites, conformément à l’article 34 de la loi informatique et libertés(2), la formation restreinte de l’autorité administrative indépendante a prononcé une sanction pécuniaire à l’encontre de cette société, tout en tenant compte de la réactivité de la société dans la résolution de cette défaillance de sécurité, de sa bonne coopération avec les services de la CNIL et de sa structure et son chiffre d’affaires.

Selon la CNIL, il appartient à cette société d’être particulièrement vigilante sur la sécurité des données collectées, en particulier lorsqu'il s’agit de traiter des données sensibles ou relatives à des infractions au sens des articles 8 et 9 de la loi informatique et libertés(3)(4).
 
Notes
puce note (1) Délibération de la CNIL SAN-2017-012 du 16 novembre 2017
puce note (2) Article 34 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
puce note (3) Article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
puce note (4) Article 9 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
 
 
Informations légales | Données personnelles