Par une délibération du 21 juin 2018, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a infligé à l’Association pour le développement des foyers (Adef) une sanction pécuniaire de 75.000 et a décidé de rendre cette sanction publique pendant une durée de 2 ans à compter de sa publication.
Elle a estimé que lassociation avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site et que les mesures élémentaires de sécurité navaient pas été prises en amont du développement du site.
Dans un arrêt du 17 avril 2019, le Conseil d’Etat rejette la demande d’annulation de cette décision faite par l’association.
Il relève que le manquement constaté par la Cnil « consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l’Adef, permettant à tout tiers non autorisé d’accéder, au moyen d’une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement. Il apparaît que ces documents, bulletins de salaires, avis d’imposition, justificatifs d’identité, contiennent des données personnelles. »
La Haute juridiction administrative considère qu' »eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil n’a pas infligé à l’Adef une sanction disproportionnée« .