En juin 2017, la Commission nationale de linformatique et des libertés (Cnil) a été informée dun incident de sécurité au sein du site internet de lassociation pour le développement des foyers (Adef), conduisant à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche dinscription en ligne.
Lassociation, qui a met à disposition des étudiants, des familles monoparentales et des travailleurs migrants des logements dans des résidences et dans des foyers, a subi un contrôle en ligne au cours duquel la Cnil a constaté quune modification du chemin de lURL affichée dans le navigateur permettait daccéder à des documents enregistrés par dautres demandeurs.
Après avoir adressée à lintéressée une demande afin de remédier à ce dysfonctionnement et nayant constaté aucun changement, la Cnil a, le 21 juin 2018, prononcé une sanction pécuniaire de 75.000 .
Elle a estimé que lassociation avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site et que les mesures élémentaires de sécurité navaient pas été prises en amont du développement du site.
La Cnil a précisé que lassociation aurait dû mettre en place un dispositif permettant déviter la prévisibilité des URL et aurait dû prévoir une procédure didentification ou dauthentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs. Or, de nombreuses données didentification des utilisateurs du site étaient accessibles, certaines relevant de la vie privée.
Compte tenu de cette gravité et du caractère particulièrement intime et complet des données concernées, la Cnil a rendu publique sa décision.