Un centre de formation condamné par la CNIL

Sécurité des données personnelles

Une sanction de 30.000 euros a été infligée à une association connue en matière de cours de langues  pour avoir insuffisamment garanti la sécurité des données personnelles des stagiaires suivant les cours de français qu’elle dispense.

Une faille de sécurité du site internet de l’association permettait de rendre librement accessibles les données des personnes suivant des cours de français.

Un contrôle en ligne effectué en décembre 2017 a permis de constater qu’en modifiant un numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur, il était possible de télécharger des documents contenant des données personnelles (factures, des certificats d’inscription ou des récapitulatifs des cours suivis).

Un contrôle au sein des locaux de l’association début 2018 a révélé que la violation de données persistait et que celle-ci donnait accès à 413 144 documents.

Un second contrôle en ligne réalisé quelques semaines plus tard a conduit à constater que les documents étaient toujours accessibles. L’association a informé la CNIL qu’elle avait mis fin à la violation de données début mars.

Considérant que l’association avait manqué à son obligation de sécurité des données personnelles, avait manqué de diligence dans la résolution de la violation et que celle-ci avait concerné un nombre important de documents, la CNIL a prononcé une sanction pécuniaire d’un montant de 30.000 euros.

Il a aussi été rappelé que le fait qu’une violation de données ait pour origine une erreur commise par un sous-traitant ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.

Pour prendre connaissance de l’intégralité de la délibération, c’est ici