Associations : avez-vous protégé les données personnelles de vos membres ?

Partager l’article
Les associations doivent prendre les mesures nécessaires pour protéger les données personnelles qui lui sont confiées, au risque de se voir sanctionner par la Cnil.
Deux associations viennent d’être condamnées à de lourdes peines d’amendes par la Commission nationale de l’informatique et des libertés (Cnil) pour ne pas avoir suffisamment sécurisé les données personnelles de leurs bénéficiaires.
Dans la première affaire, une association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Cnil avait constaté qu’il était possible, à partir du site Internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire…). Pour cela, il suffisait de changer un mot présent dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site Internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.
Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association. Une sanction sévère justifiée par la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et par le nombre de personnes et de documents visés (plusieurs centaines).
Par ailleurs, la Cnil a considéré que ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants ni coûteux.
Dans la seconde affaire, la Cnil avait constaté qu’il était possible, en modifiant une URL, de télécharger des dizaines de milliers de documents (factures, certificat d’inscription à un stage…) à partir du site Internet d’une association qui dispensait des cours de français. Des documents comportant tous un nom et un prénom, et parfois, une adresse postale et une nationalité.
Pour ne pas avoir mis en place les mesures de sécurité suffisantes pour protéger les données personnelles de ses élèves, l’association a été condamnée à une amende de 30 000 €. Pour la Cnil, le défaut de sécurité pouvait être facilement corrigé par l’association et cette faille pouvait être exploitée par des personnes n’ayant aucune compétence informatique. De plus, l’association, qui avait été prévenue début décembre 2017 de ce problème, n’y avait mis fin que 3 mois plus tard. Enfin, elle a rappelé que l’association, en tant que responsable de traitement, ne pouvait invoquer les fautes de son sous-traitant pour se dédouaner.
Mots clés : Commerce/Consommation Juridique
Auteur : Sandrine Thomas
Date : 2018-11-19 12:00:00
À découvrir également
Le Hans Krainer Band s’est produit dans l’Ehpad Saint Damien de Mulhouse 20 Déc 2022
Le groupe Hans a du cœur ❤️ Le Hans Krainer Band s’est produit dans l’Ehpad Saint Damien de Mulhouse pour donner de la joie et du bonheur aux résidents. Si on juge la grandeur d’une nation à la façon dont les anciens sont traités, nous...Nathalie et Yves Feder : recevoir comme à la maison 26 Oct 2022
La bonne humeur est de mise lorsqu’on se met à table au restaurant du Vieil Armand à Berrwiller. L’ambiance chaleureuse qui règne en salle convient parfaitement à la cuisine traditionnelle concoctée par le chef.Lettre d’information du salarié sur le dispositif exceptionnel de déblocage anticipé de l’épargne salariale 29 Sep 2022
Depuis le 16 août 2022, les mesures d’urgence pour la protection du pouvoir d’achat instaurent la possibilité de débloquer l’épargne salariale de l’année 2022. Avant fin de l’année 2022, le salarié peut débloquer une somme allant jusqu’à 10 000€. Ce montant est exonéré d’impôts sur...
Sorry, the comment form is closed at this time.