En novembre 2017, la Commission nationale de l’informatique et des libertés (Cnil) a été informée de l’existence d’un incident de sécurité sur le site internet de l’association Alliance française Paris Ile-de-France qui conduisait à rendre librement accessibles les données des personnes suivant des cours de français.

A la suite de contrôles effectués en ligne puis dans les locaux de l’association, la formation restreinte de la Cnil a prononcé, dans une délibération du 6 septembre 2018, une sanction pécuniaire d’un montant de 30.000 €, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et libertés.

Elle a considéré que les mesures élémentaires de sécurité auraient dû être mises en place telles qu’une procédure d’identification ou d’authentification des utilisateurs du site internet qui aurait pu être complétée par un dispositif permettant d’éviter la prévisibilité des URL. Elle a également relevé que l’association avait manqué de diligence dans la résolution de la violation et que celle-ci avait concerné un nombre important de documents.

La Cnil a enfin précisé que le fait qu’une violation de données ait pour origine, comme cela été invoqué en l’espèce, une erreur commise par un sous-traitant, ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.