le 22/05/2019

Le Conseil d’Etat confirme la sanction CNIL contre l’ADEF

CE, 10ème - 9ème chambres réunies, 17 avril 2019, n° 423559, Inédit au recueil Lebon

L’association pour le Développement des Foyers (ci-après « ADEF ») a pour mission la mise à disposition de logements dans des résidences. Ces logements sont dédiés à des personnes en difficultés comme les étudiants, des familles monoparentales et ou des travailleurs migrants.

A la suite d’un contrôle en ligne datant de juin 2017, les agents de la Commission ont pu constater qu’en modifiant la structure de l’URL du site de l’ADEF, il était possible de récupérer les noms, prénoms, dates de naissance, coordonnées postales, statut marital, nombre d’enfants, numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), IBAN (références bancaires), données relevant de la vie privée (salaire, revenu fiscal de référence, versement d’une aide personnalisée au logement ou d’une allocation aux adultes handicapés) concernant les bénéficiaires.

Pas moins de 42 652 documents étaient concernés par la violation.

Après un contrôle sur place où les agents de la CNIL ont constaté que la violation de sécurité et l’intégrité des données n’était toujours pas assurée, la formation restreinte a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site.

Dans sa décision du 17 avril 2019 en chambres réunies, le Conseil d’Etat a considéré que la sanction pécuniaire de 75 000 euros et la publicité de la décision étaient proportionnées.

Le conseil d’Etat a indiqué qu’ « il résulte de l’instruction que le manquement constaté par la formation restreinte de la CNIL consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l’ADEF, permettant à tout tiers non autorisé d’accéder, au moyen d’une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement. […] Eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, […] aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la CNIL n’a pas infligé à l’ADEF une sanction disproportionnée en prononçant à son encontre une amende d’un montant de 75 000 euros ».

Cette décision du Conseil d’Etat vient une nouvelle fois confirmer que des organismes publics ou parapublics réalisant des missions d’intérêt général ou de service public ne sont pas à l’abri d’une sanction au fondement des dispositions légales relatives aux données à caractère personnel.

La CNIL et in fine le Conseil d’Etat confirment que les acteurs publics et parapublics devront offrir les meilleures garanties de protection des données à caractère personnel, notamment en matière de sécurité, pour échapper à une sanction en cas de contrôle.