Le portail juridique des risques
de la vie territoriale & associative

Atteinte à la sécurité des données personnelles d’un site internet - Responsabilité de l’association

Publié le 9 juillet 2018

Une association peut-elle être sanctionnée pour avoir insuffisamment protégé les données personnelles de ses utilisateurs sur son site internet bien que celui-ci ait été développé par un prestataire professionnel ?

Oui : une association peut être sanctionnée par la CNIL en tant que responsable de traitement suite à un incident de sécurité sur son site internet rendant librement accessibles les données personnelles de ses utilisateurs, et ce, alors même que le site a été développé par une société prestataire. L’ampleur de la violation (plus de 40 000 documents accessibles) et le degré de sensibilité des données concernées (références bancaires, numéros de sécurité sociale, salaires, passeports...) ont justifié la décision prise par la CNIL de sanctionner l’association à hauteur de 75 000 euros et de rendre publique cette décision, alors même que celle-ci était de bonne foi et faisait preuve de coopération avec ses services.

Délibération CNIL n°2018-003 du 21 juin 2018