L’Association pour le Développement des Foyers (ADEF), qui a pour mission la mise à disposition de logements dans des résidences et foyers pour des personnes en difficulté sociale, a manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site. En effet, lors d’un contrôle en ligne, la CNIL a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, bulletins de salaire, passeports, cartes d’identité, titres de séjour et attestations de paiement de la caisse d’allocations familiales (CAF). Un contrôle sur place a révélé que les données étaient toujours accessibles alors que l’ADEF indiquait avoir demandé au développeur de son site internet d’apporter les correctifs nécessaires.
L’association Alliance Française Paris Ile-de-France, dont l’objectif est de contribuer au développement de la langue française en proposant des cours de français, a également manqué à l’obligation de préserver la sécurité et la confidentialité des données personnelles, la CNIL ayant constaté une violation de données à caractère personnel rendant accessibles des factures, des certificats d’inscription à un stage ou encore des récapitulatifs des cours suivis via le site internet.
La CNIL a décidé de rendre publiques les deux décisions au regard de la gravité des manquements constatés, ce qui, outre le montant conséquent des amendes, entraînera un préjudice en terme d’image et de confiance pour ces deux associations de la part de leurs membres, donateurs, autorités de tutelle et divers partenaires.
Si les montants sont inédits pour le monde associatif, ils auraient pu être beaucoup plus élevés si les contrôles avaient été effectués après le 25 mai 2018. En effet, depuis le 25 mai 2018, les amendes peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé pour une entreprise.
Ces sanctions viennent rappeler que la réglementation en matière de données à caractère personnel ne prévoit aucune exception pour les associations et les organismes à but non lucratif et la nécessité pour ceux-ci de démarrer sans délai un projet de mise en conformité avec le Règlement Général relatif à la Protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données, dit RGPD.