Le 17 avril dernier, le Conseil d'État à confirmé une décision de la formation contentieuse de la Cnil ayant condamné le 21 juin 2018 une association à une "sanction pécuniaire" de 75 000 € avec publication de la décision, pour une faille de sécurité dans le traitement des données personnelles qu'elle gérait.
Les faits en synthèse
Une association a fait l'objet tout d'abord de demandes de corrections d'une faille de sécurité dans la collecte de données qu'elle gérait sur son site, dès le 15 juin 2017, puis d'un contrôle de la Cnil le 21 juin 2017, aux termes de laquelle les manquements aux règles de sécurité des données personnelles – un des points essentiels de la loi Informatique, fichiers et libertés du 6 janvier 1978 comme du RGPD, entre temps devenu applicable – ont été confirmés. L'association a procédé à ces corrections le 27 juin 2017.
Malgré tout condamnée, le 21 juin 2018, à une sanction pécuniaire de 75 000 €, assortie de la publication de la décision, l'association a contesté cette double sanction au motif de sa bonne volonté puisqu'elle avait réagi rapidement, suite aux injonctions et au contrôle de la Cnil.
Le Conseil d'État ne suit absolument pas l'association requérante sur ce terrain et confirme donc la sanction de la Cnil.
Une sanction proportionnée à la gravité de la faute
Le Conseil rappelle que les articles 45 et 47 de la loi de 1978 prévoient que "le montant de la sanction est proportionné à la gravité du manquement commis". En d'autres termes, la sanction de la Cnil n'est pas liée à un éventuel retard pour corriger la faille de sécurité, mais tout simplement à l'existence de cette faille dont la cause ne pouvait être que l'intention de nuire ou la négligence du responsable de traitement (le chef d'entreprise, en l'occurrence les président de l'association). Le manque de réactivité de l'association à première demande, avant le contrôle de la Cnil, a pu également jouer.
La faille de sécurité était en effet particulièrement grave au regard de la protection des données personnelles pour être sanctionnée. Il s'agissait d'un "défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par [l'association], permettant à tout tiers non autorisé d’accéder, au moyen d’une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement." Il était donc loisible à tout internaute un peu doué d'accéder à des documents personnels concernant la situation privée des demandeurs de logement (bulletins de salaires, avis d'imposition, justificatifs d'identité…).
Une lourde responsabilité, parfois noyée dans des conditions techniques non maîtrisées
Cette décision vient illustrer une fois de plus la lourde charge des responsables d'un traitement de données à caractère personnel. Il est fort possible que la faille technique ait été causée par la négligence, non du responsable du traitement, le président de l'association et l'association elle-même, mais par l'équipe de développement du site. Il ne serait donc pas étonnant que l'association se retourne contre la société qui a développé cette partie du site qui aurait dû être sérieusement sécurisée. D'emblée, une telle faille semble effectivement relever de la négligence – pour ne pas dire de l'incompétence – des développeurs.
Voir la décision du Conseil d'État du 17 avril 2019 sur Légifrance.
Voir sur le site de la Cnil la publication de la sanction en date du 28 juin 2018 et la délibération décidant de la sanction du 21 juin 2018, sur Légifrance.
Voir toutes nos actualités sur les Données à caractère personnel.