ACTUALITÉS

Associations : avez-vous protégé les données personnelles de vos membres ?

Les associations doivent prendre les mesures nécessaires pour protéger les données personnelles qui lui sont confiées, au risque de se voir sanctionner par la Cnil.
 Délibération n° SAN-2018-003 du 21 juin 2018   Délibération n° SAN-2018-010 du 6 septembre 2018  

Deux associations viennent d’être condamnées à de lourdes peines d’amendes par la Commission nationale de l’informatique et des libertés (Cnil) pour ne pas avoir suffisamment sécurisé les données personnelles de leurs bénéficiaires.

Dans la première affaire, une association mettait à la disposition de personnes en difficulté des logements dans des résidences et foyers. Or la Cnil avait constaté qu’il était possible, à partir du site Internet de l’association, d’accéder à des documents fournis par les demandeurs de logements et comportant des données sensibles (passeport, carte nationale d’identité, bulletins de salaire…). Pour cela, il suffisait de changer un mot présent dans l’URL d’une demande de logement affichée dans le navigateur. De plus, une recherche faite à partir de Google et incluant le nom du site Internet de l’association et les mots « pdf impot » permettait d’obtenir les avis d’imposition des bénéficiaires.

Ces manquements ont amené la Cnil à prononcer une sanction de 75 000 € contre l’association. Une sanction sévère justifiée par la nature particulièrement sensible des données auxquelles il était possible d’accéder (salaire, revenu fiscal de référence, date de naissance, numéro de Sécurité sociale, adresse…) et par le nombre de personnes et de documents visés (plusieurs centaines).

Par ailleurs, la Cnil a considéré que ces failles, qui permettaient à toute personne extérieure, même sans connaissance technique particulière, d’accéder aux documents des bénéficiaires, auraient pu être évitées en mettant en place des mesures élémentaires de sécurité ne requérant pas de développements importants ni coûteux.

Dans la seconde affaire, la Cnil avait constaté qu’il était possible, en modifiant une URL, de télécharger des dizaines de milliers de documents (factures, certificat d’inscription à un stage…) à partir du site Internet d’une association qui dispensait des cours de français. Des documents comportant tous un nom et un prénom, et parfois, une adresse postale et une nationalité.

Pour ne pas avoir mis en place les mesures de sécurité suffisantes pour protéger les données personnelles de ses élèves, l’association a été condamnée à une amende de 30 000 €. Pour la Cnil, le défaut de sécurité pouvait être facilement corrigé par l’association et cette faille pouvait être exploitée par des personnes n’ayant aucune compétence informatique. De plus, l’association, qui avait été prévenue début décembre 2017 de ce problème, n’y avait mis fin que 3 mois plus tard. Enfin, elle a rappelé que l’association, en tant que responsable de traitement, ne pouvait invoquer les fautes de son sous-traitant pour se dédouaner.

À savoir : prenant en considération le « contexte actuel dans lequel se multiplient les incidents de sécurité et la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données », la Cnil a décidé de publier ces deux décisions.

Article du 19/11/2018 - © Copyright Les Echos Publishing - 2018

haut de page




Contrôle fiscal d’une filiale intégrée : quand informer la société mère ?
21/03/2019
Sites Web : vers la fin des mots de passe
21/03/2019
Un congé de présence parentale plus favorable pour les salariés
21/03/2019
Démarches administratives et juridiques : comment s’en sortent les TPE/PME ?
20/03/2019
Révocation d’une donation faite à une association
20/03/2019
L’épargne réglementée est appelée à devenir plus verte !
20/03/2019
Transmission de biens ruraux loués par bail à long terme : du nouveau
19/03/2019
Employeurs : que faire en cas d’erreurs de prélèvement à la source ?
19/03/2019
Rupture brutale d’une relation commerciale établie
18/03/2019
Quand une association est déclarée adjudicataire d’un immeuble…
18/03/2019
Le barème des indemnités prud’homales sur la sellette !
18/03/2019
L’âge moyen de départ à la retraite atteint 62,7 ans
15/03/2019
Du changement dans la trajectoire de baisse de l’impôt sur les sociétés
14/03/2019
RGPD : la Cnil lance un Mooc
14/03/2019
La vie privée s’arrête là où commence la vie professionnelle !
14/03/2019
Peut-on être associé et salarié d’une EURL ?
13/03/2019
Comment fonctionne la réduction de cotisations sur les heures supplémentaires ?
13/03/2019
Liberté d’expression : quand un salarié va trop loin...
13/03/2019
Quel statut social pour le président d’une SAS à objet agricole ?
12/03/2019
Du nouveau pour la transférabilité de l’épargne !
12/03/2019
Vente des parts d’une SCP et exonération des plus-values
11/03/2019
Bulletin édité par une association et diffamation
11/03/2019
Conditions générales de vente : faites-les accepter par vos clients !
11/03/2019
Fixation de la rémunération du gérant d’une EURL
08/03/2019
Mentir à une banque pour obtenir un prêt n’est pas une bonne idée !
08/03/2019
Taxe sur les salaires : quels sont les revenus concernés ?
07/03/2019
Les besoins en accompagnement des associations
07/03/2019
Quelques outils pour se libérer d’un rançongiciel
07/03/2019
Commerçants : gare au respect du délai pour mettre fin à un bail en cours !
06/03/2019
Cession d’un bail rural : gare au respect des conditions requises !
06/03/2019
Sociétés civiles de placements immobiliers : un marché au beau fixe
06/03/2019
Le montant 2019 de la franchise des impôts commerciaux
06/03/2019
Associations : comment recueillir des dons par texto ?
05/03/2019
Assurance récolte : les taux de subventions sont fixés pour 2019
05/03/2019
Licenciement d’un salarié : n’oubliez pas la convention collective !
05/03/2019
TVA : bail commercial et droit d’entrée
04/03/2019
Pas d’euro symbolique pour compenser l’exclusion irrégulière d’une association !
04/03/2019
Quand le mouvement des « gilets jaunes » met les entreprises dans le rouge
04/03/2019
Cession de parts de SNC : défaut de réponse à une demande d’agrément
01/03/2019
Déclaration des revenus 2018 : pensez au rescrit fiscal !
28/02/2019
Attention au cryptojacking !
28/02/2019
Moins de 100 000 contrats aidés cette année pour les associations
28/02/2019
Vers une simplification du droit de la famille
28/02/2019
Politique de la ville : financement des associations
27/02/2019
Clause de non-concurrence souscrite par le vendeur d’une entreprise
27/02/2019
FDVA : les appels à projets « Fonctionnement-innovation » sont en ligne
27/02/2019
Renonciation à une clause de non-concurrence : un écrit sinon rien !
27/02/2019
Employeurs agricoles : exonération liée au travail occasionnel ou réduction générale ?
26/02/2019
Le simulateur de calcul de l’impôt sur le revenu 2019 est disponible !
26/02/2019
Complémentaire santé : bientôt un « reste à charge zéro » pour les salariés
25/02/2019
Bénévolat : comment accompagner les associations ?
25/02/2019
Annulation d’un redressement fiscal en raison du secret des correspondances
25/02/2019
Plus de période de professionnalisation, mais un dispositif Pro-A
22/02/2019
Quel bilan pour le marché des ETF en 2018 ?
22/02/2019
Géolocalisation des salariés : oui, mais seulement en dernier ressort !
21/02/2019
Le World Wide Web aura bientôt 30 ans
21/02/2019
L’AMF fait le point sur les frais appliqués aux placements
21/02/2019
Bénévoles associatifs : n’oubliez pas de déclarer vos activités !
20/02/2019



© 2009-2019 - Les Echos Publishing - mentions légales et RGPD