WEB EDITIONS : sanction pécuniaire pour une atteinte à la sécurité et la confidentialité des données clients

22 novembre 2017

La formation restreinte de la CNIL a prononcé une sanction d’un montant de 25.000 euros à l’encontre de l’éditeur de 4 sites de démarches administratives en ligne ayant laissé librement accessibles les données de ses utilisateurs. Elle a estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients.

En décembre 2016, la CNIL a été informée de l’existence d’un incident de sécurité ayant conduit à rendre librement accessibles les données personnelles des utilisateurs de plusieurs sites internet permettant d’effectuer des démarches administratives.

La Présidente de la CNIL a décidé de diligenter des contrôles en ligne en janvier 2017. Les contrôleurs de la CNIL ont suivi le parcours de démarches administratives proposées par les sites « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org » édités par la société WEB EDITIONS.

Ils ont constaté qu’une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait. En modifiant un numéro dans l’adresse URL de la page récapitulative, ils ont pu accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient :

  • données d’identification,
  • adresse électronique,
  • adresse postale,
  • numéro de téléphone,
  • nom et prénom des parents lorsque la demande portait sur un acte de naissance,
  • descriptifs des faits dans le cadre des dépôts de plainte.

Alertée par les services de la CNIL, la société a pris, en trois jours, les mesures nécessaires permettant de mettre fin à la violation de données.

Un contrôle sur place a été réalisé, en février 2017, dans les locaux de la société. Il a permis de constater que le défaut identifié résultait de l’absence de mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société WEB EDITIONS.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 25.000 euros, estimant que la société avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites, conformément à l’article 34 de la loi Informatique et Libertés.

Elle a estimé qu’il appartenait à la société d’être particulièrement vigilante sur la sécurité des données collectées, dès lors qu’elle mettait en ligne des sites internet permettant d’effectuer des démarches administratives et notamment, de traiter des données sensibles ou relatives à des infractions au sens des articles 8 et 9 de la loi Informatique et Libertés.

Cette violation a eu un impact sur les données de plusieurs milliers de personnes, certaines relevant de l’intimité de la vie privée des utilisateurs des sites, ainsi que celle de tierces personnes visées dans les plaintes déposées en ligne et dans les demandes d’actes de naissance.

La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de l’incident de sécurité, de sa bonne coopération avec les services de la CNIL ainsi que de la taille de la structure et de son chiffre d’affaires.

Les mots clés associés à cet article