Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable

Demeure un autre jour

CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable

Le 28 juin 2018 à 13h51

Sans mise en demeure préalable, la CNIL vient d’infliger une sanction de 75 000 euros à une association gérant des demandes de logement. L’autorité administrative lui reproche d’avoir « insuffisamment protégé les données des utilisateurs de son site Internet » en se dispensant de « mesures élémentaires » de sécurité.

Passeports, titres de séjour, cartes d’identité, bulletins de salaire, avis d’imposition ou encore attestations de paiement des Allocations familiales. Voilà le type de documents officiels auxquels ont pu librement accéder, en juin 2017, les agents de la Commission nationale de l’informatique et des libertés (CNIL), dans le cadre d’un contrôle en ligne visant le site Internet de l’Association pour le développement des foyers (ADEF).

Quelques jours plus tôt, la gardienne des données personnelles avait été alertée de l’existence d’un « défaut de sécurité » affectant le site l’association, qui propose des logements à des personnes en difficulté sociale (étudiants, familles monoparentales, travailleurs migrants...).

Des fichiers accessibles par modification d’URL ou via une recherche Google

Les agents de la CNIL ont constaté qu’en effectuant une demande de logement en ligne, une simple « modification du chemin de l’URL affichée dans le navigateur » permettait « d’accéder aux documents enregistrés par d’autres demandeurs ». La faille est loin d’être bénigne : plus de 40 000 fichiers sont exposés.

Pire encore, en effectuant une recherche de type « site:adef-logement.fr filetype:pdf impot » sur Google, des avis d’imposition figuraient dans la liste des résultats affichés par le moteur...

Quand bien même l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016) a rapidement demandé à son prestataire de colmater la brèche, la CNIL a décidé début 2018 d’ouvrir une procédure de sanction.

Une faille qui résulte d’un manquement aux règles « élémentaires » de sécurité

Et pour cause : cette fuite n’aurait pas eu lieu si l’ADEF avait déployé des « mesures élémentaires » de sécurité « qui, au surplus, ne requéraient pas de développements importants, ni coûteux », déplore la CNIL au travers d’une décision rendue publique jeudi 28 juin.

L’autorité administrative indépendante estime qu’un « dispositif permettant d’éviter la prévisibilité des URL » aurait dû être mis en place, de même qu’une « fonction modifiant la dénomination des fichiers enregistrés par les personnes, lors du téléversement de ceux-ci sur son répertoire de stockage, afin d’éviter qu’une personne n’identifie le chemin d’accès aux dossiers enregistrés ».

La commission souligne en outre que l’intégration d’une procédure d’authentification des utilisateurs du site (par exemple via un système d'identifiant/mot de passe) relevait d’une « précaution d’usage essentielle », qui aurait permis d’une certaine manière de limiter la casse.

adef
Crédits : ADEF

Pour l’institution, ces fautes constituent un manquement à l’obligation qui incombe à chaque responsable de traitement de « prendre toutes précautions utiles (...) pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Pour justifier cette procédure de sanction, la CNIL souligne qu’il était possible d’exploiter les fichiers en question sans « aucune compétence technique particulière » :

« Pour accéder aux documents d’autres clients, il suffisait de modifier le chemin des URL des formulaires de demande qui contenaient le nom du document enregistré par la personne. Ainsi, il était particulièrement aisé pour une personne d’inscrire dans une URL le nom d’un document qu’elle souhaitait voir afficher, tel qu’un bulletin de salaire ou une carte d’identité. La formation restreinte rappelle également que les données étaient librement accessibles en effectuant une recherche au sein du moteur de recherche Google, augmentant ainsi le risque que l’incident soit exploité par des tiers non autorisés. »

Certaines des informations accessibles étaient surtout relativement intrusives puisqu’elles permettaient « de connaître le salaire des personnes, leur revenu fiscal de référence, leur statut marital ou leur nombre d’enfants et de savoir si elles perçoivent l’aide personnalisée au logement ».

Sanction sans mise en demeure préalable, nouveauté introduite par la loi Numérique

Pour éviter l’amende de 150 000 euros préconisée par le rapporteur de la CNIL, l’ADEF a tenté d’invoquer la nullité de la procédure, au motif qu’aucune mise en demeure ne lui avait été adressée. L’autorité administrative a toutefois balayé cet argument, expliquant que depuis de la loi Numérique de 2016, elle pouvait prononcer « une sanction pécuniaire sans mise en demeure préalable ».

Auparavant, reconnait néanmoins la Commission, « la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement ».

Estimant que l’association avait « réagi rapidement » en mettant en place des mesures correctrices « dans un délai raisonnable après avoir été alertée par la CNIL », et au regard de sa coopération, l’autorité administrative a finalement opté le 21 juin dernier pour une sanction publique de 75 000 euros.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Vu qu’elle est passée par un prestataire, l’association peut elle se retourner contre lui? A moins que cela ne fasse pas partie du cahier des charges…

C’est quand même fou de voir ce genre d’ânerie en 2018, surtout vu le nombre de données “sensibles” demandées.

votre avatar

C’est une faute du prestataire clairement, même si le cahier des charges ne le précise pas, il y a des règles de sécurité à respecter, surtout si on traite des données de ce type…

 Et là, c’est vraiment de la sécurité élémentaire qui n’est pas respectée, j’aimerais connaitre le nom du prestataire tiens…

 

votre avatar







eglyn a écrit :



C’est une faute du prestataire clairement, même si le cahier des charges ne le précise pas, il y a des règles de sécurité à respecter, surtout si on traite des données de ce type…

Et là, c’est vraiment de la sécurité élémentaire qui n’est pas respectée, j’aimerais connaitre le nom du prestataire tiens…





D’après leur site, et si ça n’a pas changé depuis : Hippocampe.


votre avatar







Mihashi a écrit :



D’après leur site, et si ça n’a pas changé depuis : Hippocampe.





Et bah, en gros sur leur site : INFLUX DIGITAL



ça annonce la couleur au moins <img data-src=" />


votre avatar

&nbsp;Leur slogan :

&nbsp;

On fait du digital passionnément et comme on l’aime





Ca pourrait être celui de la Fistinière <img data-src=" />

votre avatar







eglyn a écrit :



Et bah, en gros sur leur site : INFLUX DIGITAL



ça annonce la couleur au moins <img data-src=" />





<img data-src=" />


votre avatar

Les deux sont responsables, sinon c’est trop facile, et puis meme l’Etat est responsable “défaut de réglementation pour la protection de données personnelles”



Et Cdiscount, pas d’amende ?

votre avatar

C’est vrai, quid du prestataire ?

Autant l’ADEF a sa part des responsabilité dans l’histoire. Mais le prestataire n’est pas tout blanc non plus…

votre avatar

Je pense que c’est à l’ADEF de se retourner contre son prestataire si nécessaire.

votre avatar

Le manque de sécurité est évident, par contre sans mise en demeure préalable et alors que l’association (qui travaille dans le logement social) a réagi rapido tout comme son prestataire, infliger une amende de ce montant est ridicule.



Après n’avoir rien fait pendant des années, elle a fini par taper très doucement sur Facebook et quelques GAFAS, pour aujourd’hui frapper lourdement sur un acteur du logement social… pas certain que la cible soit prioritaire et que le message soit entendu autrement que comme étant une sanction disproportionnée.



S’agissant du recours de l’ADEF contre son prestataire c’est loin très loin d’être évident, cela implique de savoir ce qui avait été convenu à l’origine, puis d’apporter la démonstration technique que le manquement était évident par rapport aux règles de l’art pour convaincre le Juge, ce qui à mon avis va nécessité l’intervention d’un expert.



D’ailleurs ce dernier aspect devrait à mon sens conduire l’ADEF à contester la décision devant le Conseil d’Etat, pas sur le manquement qui semble avéré, mais sur l’importance de la sanction et l’appréciation plus que sévère s’agissant de l’individualisation de la sanction principe conventionnel (peut-être l’occasion pour le Conseil d’Etat de reconnaître le principe de l’individualisation administrative déjà reconnue en matière pénitentiaire).

votre avatar

La nature très sensible des documents rendus disponibles a du fortement jouer sur la sévérité de la condamnation (et encore, l’article précise que le rapport préconisait la sanction maximale). On parle d’avis d’impôts, bulletins de salaires, documents d’identités, accessibles via une recherche Google… Ce n’est pas rien.

votre avatar







SebGF a écrit :



La nature très sensible des documents rendus disponibles a du fortement jouer sur la sévérité de la condamnation (et encore, l’article précise que le rapport préconisait la sanction maximale). On parle d’avis d’impôts, bulletins de salaires, documents d’identités, accessibles via une recherche Google… Ce n’est pas rien.





Je ne dis pas que cela n’est rien, mais je sais aussi comment fonctionne ce type d’association (qui a beaucoup de défauts, qui est généralement extrêmement politisée, a parfois des projets immos à la * etc…) dont la capacité à créer du logement social et à le gérer dépend nécessairement du budget.



Si après une mise en demeure, elle n’avait pas bougé la sanction serait justifiée, mais 75 000.00 € sans mise en demeure et au regard du fait qu’elle a été réactive ça me semble inutilement lourd et même contre productif.


votre avatar



Pire encore, en effectuant une recherche de type « site:adef-logement.fr filetype:pdf impot » sur Google, des avis d’imposition figuraient dans la liste des résultats affichés par le moteur…



<img data-src=" /> Si maintenant la CNIL utilise la technique d’un pirate notoire<img data-src=" />

votre avatar







Mihashi a écrit :



D’après leur site, et si ça n’a pas changé depuis : Hippocampe.





Ils annoncent pourtant bien clairement la couleur :



“Nous ne faisons rien comme les autres…

Mais rien que pour vous !”

<img data-src=" />


votre avatar







crocodudule a écrit :



S’agissant du recours de l’ADEF contre son prestataire c’est loin très loin d’être évident, cela implique de savoir ce qui avait été convenu à l’origine, puis d’apporter la démonstration technique que le manquement était évident par rapport aux règles de l’art pour convaincre le Juge, ce qui à mon avis va nécessité l’intervention d’un expert..







Hummm… Le prestataire n’a t-il pas un devoir de conseil, en tant que professionnel et eu égard à son domaine de compétence ?


votre avatar







fabliv a écrit :



Hummm… Le prestataire n’a t-il pas un devoir de conseil, en tant que professionnel et eu égard à son domaine de compétence ?







Bof, dépend des boîtes, des budgets, et de la bonne volonté mutuelle entre le client et le prestataire.

Parfois un presta va vouloir proposer ou alerter, mais ça risque d’être plus cher, le client va faire sa tête de con.

Tout comme le presta va juste exécuter à la lettre les ordres du client sans valeur ajoutée et basta.



Je cite deux extrêmes évidemment, mais ayant vu ces deux comportements…







crocodudule a écrit :



Je ne dis pas que cela n’est rien, mais je sais aussi comment fonctionne ce type d’association (qui a beaucoup de défauts, qui est généralement extrêmement politisée, a parfois des projets immos à la * etc…) dont la capacité à créer du logement social et à le gérer dépend nécessairement du budget.



Si après une mise en demeure, elle n’avait pas bougé la sanction serait justifiée, mais 75 000.00 € sans mise en demeure et au regard du fait qu’elle a été réactive ça me semble inutilement lourd et même contre productif.







L’article précise quand même qu’elle a un CA de 37 millions d’euros. 75 000€ ce n’est certes pas rien, mais l’association en question semble avoir tout de même certains moyens.

Déjà que les sanctions de la CNIL sont considérées comme ridicules… Quand bien même l’association ait été réactive (ce qui a joué en sa faveur ainsi que sa collaboration active, c’est indiqué dans la décision), il y a faute grave et donc sanction. Elle a quand même avancé quelques arguments de mauvaise foi, qui en plus se sont retournés contre elle (délai de conservation de documents non justifié, etc).


votre avatar







SebGF a écrit :



Bof, dépend des boîtes, des budgets, et de la bonne volonté mutuelle entre le client et le prestataire.

Parfois un presta va vouloir proposer ou alerter, mais ça risque d’être plus cher, le client va faire sa tête de con.

Tout comme le presta va juste exécuter à la lettre les ordres du client sans valeur ajoutée et basta.



Je cite deux extrêmes évidemment, mais ayant vu ces deux comportements…







Mon propos était en fait plus une affirmation qu’une question…



Au regard des textes et de la jurisprudence le prestataire a un devoir d’information et de conseil, le contractant, lui, ne peut demander à son prestataire de fermer les yeux sur une obligation légale qui pourrait lui être coûteuse sous prétexte d’économie.



Au hasard: “quelle est l’étendue de l’obligation de conseil et d’information du professionnel ?”



:)



votre avatar







crocodudule a écrit :



&nbsp;l’association (qui travaille dans le logement social)





Je ne suis pas sur que travailler dans un logement social quand ont fait 37,6M de CA soit un argument en leur faveur. D’ailleurs si ton information est exact. WTF ?


votre avatar

L’association travail dans LE logement social, pas dans UN logement social.



Sinon faut lire l’article, troisième paragraphe.



On peut faire du CA, mais pas du bénéfice.

votre avatar

Comme d’hab, il y a le principe et la réalité <img data-src=" />

votre avatar

Tout à fait ! La réalité c’est que le client lui il veut ça et pour pas cher et ça fait souvent mal au cul du presta qui préfère largement fournir un travail dont il est fier.



Du coup on fournit la fonctionnalité pour le prix qu’il veut en se passant des “détails”.

Mais je suis tout à fait d’accord, ce n’est pas une excuse. Ce type d’amendes va pousser les clients à réfléchir à deux fois et à investir le budget qu’il faut pour ne pas se retrouver dans ce genre de situation.

votre avatar







SebGF a écrit :



L’article précise quand même qu’elle a un CA de 37 millions d’euros. 75 000€ ce n’est certes pas rien, mais l’association en question semble avoir tout de même certains moyens.

Déjà que les sanctions de la CNIL sont considérées comme ridicules… Quand bien même l’association ait été réactive (ce qui a joué en sa faveur ainsi que sa collaboration active, c’est indiqué dans la décision), il y a faute grave et donc sanction. Elle a quand même avancé quelques arguments de mauvaise foi, qui en plus se sont retournés contre elle (délai de conservation de documents non justifié, etc).





Le CA de ces associations est souvent très important, mais cela vient du fait qu’il s’agit de manier des fonds pour monter des projets immos (financer avec des fonds privés mais également généralement des fonds publics) et percevoir des loyers (réinvestis dans dans la gestion, l’entretien et d’autres projets).



Ces structures sont souvent très bordéliques dans leurs organisations et elles doivent souvent composer avec les barrons politiques locaux, bref ils s’agit, pour celles que je peux connaître, des machineries très lourdes avec pas mal de salariés et des contraintes importantes.



Mais fondamentalement la mission de construire des logements sociaux est à 90% effectuée par ces associations (à but non lucratif naturellement).



Comme la baisse des APL a fait très mal à ces associations (qui financent une partie de leurs opérations dessus), les budgets sont pas au mieux de leurs formes. Y a jouter une sanction significative peut imposer de reporter un projet ou de diminuer sa voilure.



L’objectif pour la CNIL c’est que la réglementation sur la protection des données persos soit appliquée: si dès la notification de l’association a fait le job, une sanction symbolique me semble suffisante, l’objectif prioritaire étant déjà atteint.


votre avatar







fabliv a écrit :



Hummm… Le prestataire n’a t-il pas un devoir de conseil, en tant que professionnel et eu égard à son domaine de compétence ?






Pour rappel, une sanction (pénale ou administrative) est par  définition personnelle et attachée à la personne contre qui elle est  prononcée. Il n'y aucune possibilité de demander au prestataire de  relever et garantir l'association d'une sanction (c'est aussi pour cette raison qu'il est impossible de souscrire une assurance pour payer des sanctions pénales par exemple).




Il va falloir par conséquent démontrer que le prestataire a engagé sa responsabilité. Comme tu l’indiques on pourrait envisager un défaut de conseil ou de renseignement, néanmoins l’obligation de conseil ici n’est pas celle du professionnel envers le consommateur, il faut donc bien voir l’étendue des engagements.



Par exemple, on peut très bien imaginer que le prestataire soit pas le concepteur originel de l’outil, dont il tente d’assurer la maintenance, dans ce cas engager sa responsabilité n’est pas évident.



En outre et à considérer que l’association arrive à démontrer un manquement du prestataire et demande une indemnité équivalente à la sanction, il faut que ce prestataire soit en mesure de la régler (avec une telle somme tu peux facilement faire couler une petite boite).



J’ajoute enfin, que s’il s’agit d’un outil métier dédié, il est difficile de se mettre à dos son prestataire alors qu’on est pieds et poings liés avec lui…


votre avatar

L’association en question fait 1,38M€ de bénéfices et&nbsp;dispose de 9,2M€ de disponibilités.

votre avatar

L’objectif de la CNIL c’est que la réglementation sur la protection des données persos soit appliquée par tous. Pas que les gens attendent que la CNIL les notifie pour faire juste le minimum…

votre avatar







crocodudule a écrit :



L’objectif pour la CNIL c’est que la réglementation sur la protection des données persos soit appliquée: si dès la notification de l’association a fait le job, une sanction symbolique me semble suffisante, l’objectif prioritaire étant déjà atteint.







Le hic c’est que si la CNIL se contente d’un avertissement et rien d’autre, on rentre dans le jeu pervers du “pas vu pas pris”.

La tape sur les doigts + les gros yeux, ça ne dissuade personne… A un moment, il faut frapper dans le tas pour maintenir son autorité.



En outre, la CNIL a aussi une mission d’information et de régulation. C’est son rôle d’assister les responsables de traitements de données personnelles de se mettre en conformité. Il y a eu de nombreux cas où la sanction a été un rappel à l’ordre accompagné d’un message public.

C’est pas qu’une chieuse.



En l’occurrence, ce passage de la décision me laisse à penser que les manquements viennent de l’association. Le prestataire aurait du néanmoins relever le caractère dangereux de la chose.





En troisième lieu, l’association précise que l’incident n’a pas concerné tous les dossiers de demandes de logement effectuées en ligne, mais uniquement les documents fournis par des personnes n’ayant pas finalisé leur démarche sur le site internet. Elle explique que c’est la raison pour laquelle l’accès à certaines pièces n’était pas sécurisé.



La formation restreinte considère qu’une telle explication, outre qu’elle démontre une conservation de données à caractère personnel pendant un durée non justifiée, est sans incidence sur la caractérisation du manquement dès lors que l’association était tenue de s’assurer de la sécurité de toutes les données à caractère personnel traitées, même celles concernant des personnes ne validant pas leur demande de logement.



Sur la base de ces éléments, elle considère que le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est constitué.





C’est comme si ton banquier laissait les documents de ton prêt bien en évidence sur le bureau d’accueil “parce qu’il n’est pas encore complet”. <img data-src=" />



Quand au développeur du site web, ça semble être une petite agence de quelques employés, mais avec un assez gros pédigrée au vu de son site web et de ses 22 ans d’existence. Donc soit des amateurs qui savent bien se vendre, soit ils n’ont pas l’air si mauvais que ça…


votre avatar

bonjour,



Je pense que c’est aussi en rapport avec le volume de leur activité :

[…]l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016)[…]



C’est pas la petite association de quartier apriori …

votre avatar







RuMaRoCO a écrit :



bonjour,



Je pense que c’est aussi en rapport avec le volume de leur activité :

[…]l’association (qui emploie environ 270 salariés pour un chiffre d’affaires de 37,6 millions d’euros en 2016)[…]



C’est pas la petite association de quartier apriori …





Je sais bien et mon propos n’est pas non plus de dire qu’ils sont intouchables parce que l’association travaille dans une activité socialement sensible.



Juste que la sanction ne doit pas conduire à amputer du budget qui pourrait être utilisé pour les projets immos à dimension sociale tandis que le nécessaire a été vite fait dès la notification de la CNIL et qu’une sanction plus mesurée n’aurait pas été choquante tout en signifiant le fait que la ligne rouge a été franchie.



Par comparaison, Facebook pour des difficultés plus importantes à mon sens car il était clairement relevé un défaut d’information des utilisateurs, sous entendant même qu’il y aurait une part de dissimulation, a pris uniquement sur le nez 150 000 €.


votre avatar

Il me semble que 150 000€ est le maximum que la CNIL peut infliger en cas de premier manquement condamné.

Les 300 000€, ou 5% du CA pour une entreprise (dans la limite des 300k, toujours), sont en cas de récidive sur une période inférieure à 5 ans depuis la précédente sanction.



Dans tous les cas, c’est ridicule vis à vis des groupes qui brassent des miyards.

votre avatar







SebGF a écrit :



Il me semble que 150 000€ est le maximum que la CNIL peut infliger en cas de premier manquement condamné.

Les 300 000€, ou 5% du CA pour une entreprise (dans la limite des 300k, toujours), sont en cas de récidive sur une période inférieure à 5 ans depuis la précédente sanction.



Dans tous les cas, c’est ridicule vis à vis des groupes qui brassent des miyards.





C’est bien ça, en relevant que FB avait eu une jolie mise en demeure avant de prendre la prune


CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable

  • Des fichiers accessibles par modification d’URL ou via une recherche Google

  • Une faille qui résulte d’un manquement aux règles « élémentaires » de sécurité

  • Sanction sans mise en demeure préalable, nouveauté introduite par la loi Numérique

Fermer