La Commission nationale de l'informatique et des libertés (CNIL) intensifie ses contrôles et ses sanctions depuis quelques mois. Après Optical Center en juin, l'ADEF en juillet puis Dailymotion en août et Assistance Centre d'Appels il y a quelques jours, la CNIL vient cette fois d'épingler l'Alliance Française Ile-de-France. La commission a en effet sanctionné l'association chargée de former chaque année 90 000 personnes environ dans l'apprentissage du français à une amende d'un montant de 30 000 euros pour ne pas avoir su correctement protéger les données personnelles de ses utilisateurs.

« Un contrôle en ligne effectué en décembre 2017 a permis de constater qu’en modifiant un numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur », explique la CNIL dans un communiqué. « Il était possible de télécharger des documents contenant des données personnelles, tels que des factures, des certificats d’inscription ou des récapitulatifs des cours suivis ». En tout 413 144 fichiers étaient accessibles au moment où la CNIL a réalisé un autre contrôle sur site début 2018, le problème n'ayant pas été corrigé quelques semaines plus tard lors d'un troisième contrôle en ligne.

InfoGreffe bientôt à son tour épinglé ?

« Les mesures élémentaires de sécurité auraient dû être mises en place telles qu’une procédure d’identification ou d’authentification des utilisateurs du site Internet qui aurait pu être complétée par un dispositif permettant d’éviter la prévisibilité des URL », précise par ailleurs la CNIL.

Cette sanction intervient au moment où une faille de sécurité similaire sur InfoGreffe a été découverte par notre confrère Damien Bancal de Zataz : l'adresse URL fournie par le site pour télécharger l'acte acheté par l'internaute contenait un numéro de commande qui, s'il était modifié, permet d'accéder à des commandes d'autres internautes ainsi qu'à leurs données personnelles associées (nom, adresse, email...).