En juin dernier, la CNIL avait prononcé une amende de 75.000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF). En cause : l’insuffisance de protection des données sur les systèmes informatiques. Le Conseil d’Etat vient de confirmer cette sanction.
La sanction de la CNIL
En juin dernier, la CNIL avait prononcé une amende de 75.000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF) avec publication de la décision.
Il avait en effet été constaté qu’une modification du chemin URL permettait d’afficher des documents enregistrés par d’autres utilisateurs, tels que leur avis d’imposition, cartes d’identité ou encore attestations de paiement de prestations sociales. Malgré plusieurs demandes de régulation, une mission de contrôle ultérieure avait permis de constater que rien n’avait été fait pour remédier à ce défaut de sécurité.
L’autorité de contrôle avait ainsi estimé que l’ADEF avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles de ses utilisateurs et une procédure de sanction a été engagée.
La décision du Conseil d’Etat
Par une requête du 24 août, l’ADEF a demandé l’annulation de cette décision. C’est l’examen de cette requête qui fait l’objet de la décision du Conseil d’Etat du 17 avril dernier.
Le Conseil d’Etat rappelle que le montant de la sanction doit être proportionnel à la gravité du manquement constaté ainsi qu’aux avantages tirés de ce manquement. L’autorité de contrôle doit ainsi prendre en compte :
- le caractère intentionnel ou de négligence du manquement ;
- les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;
- le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels ;
- les catégories de données à caractère personnel concernées ;
- la manière dont le manquement a été porté à la connaissance de la commission.
Dans le prononcé de sa sanction, la CNIL avait pris en compte la gravité de la violation du fait d’une part de la nature sensible des informations accessibles et d’autre part du grand nombre de documents concernés. Par ailleurs, il avait été relevé que ce dommage aurait pu être évité par des mesures simples de sécurité qui n’avaient pas été mises en place, par exemple une procédure d’authentification des utilisateurs du site. Enfin, l’ADEF a mis trop de temps à prendre les mesures nécessaires compte tenu des moyens importants dont elle dispose.
Le Conseil d’Etat estime alors que la sanction infligée à l’ADEF n’est pas disproportionnée.
Retrouvez l’intégralité des décisions :
Deshoulières Avocats conseille et défend plus de 600 acteurs des nouvelles technologies. Notre cabinet expert en protection des données vous accompagne à chaque étape de votre mise en conformité RGPD.
