Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s’était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que « les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents » mais comprennent aussi des « risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé« . Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.
Pour lire la délibération de la CNIL
