Associations : vous devez protéger les données personnelles de vos membres
Partager l’article
Les associations qui ne prennent pas les mesures nécessaires pour protéger les données personnelles qui leur sont confiées risquent de se voir sévèrement sanctionner par la Cnil.
Le Conseil d’État vient de confirmer la condamnation d’une association à une sanction de 75 000 € pour ne pas avoir suffisamment sécurisé les données personnelles de ses bénéficiaires.
Cette association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Commission nationale de l’informatique et des libertés (Cnil) avait constaté qu’il était possible, à partir du site internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire, avis d’imposition…). Pour cela, il suffisait de changer un mot dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.
Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association compte tenu de la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et du nombre de personnes et de documents visés (plusieurs centaines). De plus, pour la Cnil, ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants, ni coûteux.
L’association avait contesté cette décision en invoquant la disproportion entre les manquements constatés et le montant élevé de l’amende prononcé par la Cnil. Mais le Conseil d’État a considéré que cette sanction était adéquate au vu notamment de la nature et de la gravité du manquement qu’il aurait été facile de prévenir par des mesures simples de sécurité ainsi que des moyens importants dont disposait l’association (environ 270 salariés et un chiffre d’affaires de 37,6 M€ en 2016).
Le Conseil d’État a également confirmé la publication pendant 2 ans de la décision de la Cnil. Une sanction qui est justifiée par la gravité du manquement et la quantité de données personnelles concernées et qui permet, à la fois, de jouer un rôle dissuasif et d’informer les bénéficiaires de l’association des risques encourus et de la correction de la défaillance.
Mots clés : Actualité Juridique
Auteur : Sandrine Thomas
Date : 2019-06-24 12:00:00
À découvrir également
Excursion à Orléans avec le cabinet Hans et Associés d’Étampes ! 18 Sep 2023
Nous sommes ravis de partager avec vous notre récente escapade mémorable à Orléans, en compagnie de l'équipe dynamique du cabinet Hans et associés d'Étampes. Cette journée exceptionnelle fut une aventure chargée d'histoire, de charme, et d'opportunités de renforcer nos liens professionnels et personnels.
Paris 2024 : présentation du partenariat avec la judoka Agathe Devitry (part. 2) 23 Août 2023
Je m’appelle Agathe De Vitry, je suis sportive de haut niveau en judo et je prépare les Jeux Olympiques de Paris 2024 dans l’objectif d’aller décrocher une sélection. Dans la catégorie des -63kg, je suis double Championne de France (2019 & 2022).
Paris 2024 : présentation du partenariat avec la judoka Agathe Devitry (part. 1) 08 Août 2023
Nous sommes très fiers de vous annoncer que le Groupe Hans a décidé de sponsoriser Agathe Devitry, une judokate talentueuse qui se bat pour se qualifier aux Jeux Olympiques. Cette initiative souligne l'engagement de l'entreprise envers des valeurs telles que la combativité, la proximité et l'humanité.
Sorry, the comment form is closed at this time.