La société BIO&CO organise des salons en France. Pour y participer, la société invitait les personnes intéressées à se rendre sur son site, « SALONBIOECO.COM », et à remplir un formulaire pour obtenir une « invitation » gratuite (au lieu de 5€).

Une fois le formulaire rempli et validé, l’internaute était redirigé vers une page contenant son invitation. Cette page était toutefois librement accessible et son adresse était composée d’un numéro incrémental. En changeant simplement ce numéro, les invitations de tous les autres participants du salon pouvaient être consultées.

D’après une estimation fondée sur ce numéro, les noms et coordonnées (postales et électroniques) de plus d’un millier de personnes étaient ainsi publiquement accessibles.

Un signalement a été déposé à la CNIL pour demander que l’accès aux données à caractère personnelles soit restreint dans les meilleurs délais et pour demander que les personnes soient informées que leurs données ont pu être consultées ou dérobées par une personne non autorisée.

Dans la mesure où la société BIO&CO affirmait que les données saisies par les visiteurs lors de leur inscription ne font l’objet d’« aucun traitement », il a également été demandé à la CNIL que les données des visiteurs soient supprimées.

La Commission a répondu, trois semaines plus tard, que « la CNIL est intervenue […] auprès de l’organisme mis en cause auquel il a été rappelé : ses obligations en matière de sécurité des traitements de données à caractère personnel [et] ses obligations en matière de minimisation des données » :

« La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause auquel il a été rappelé :

- ses obligations en matière de sécurité des traitements de données à caractère personnel qu’il effectue en vertu des articles 32, 33 et 34 du RGPD ; les échanges intervenus entre les services de la CNIL et la société ayant abouti à la correction de cette faille de sécurité ;

- ses obligations en matière de minimisation des données prévues par l’article 5-1 du Règlement général sur la protection des données (RGPD) au moment de la collecte des coordonnées postales des usagers via le formulaire d’inscription à une invitation gratuite pour un salon. »

Un mois après ce signalement, les données des visiteurs n’étaient plus publiquement accessibles.

Cette action est désormais terminée.