RGPD : une sanction de 400.000 euros pour Sergic

RGPD
Atteinte à la sécurité des données des candidats à la location.

Le site web de Sergic a fait courir un risque à un nombre important de candidats à la location ayant rempli un dossier en ligne. La CNIL ayant constaté deux manquements au règlement général sur la protection des données (RGPD) a prononcé une amende de 400.000 euros, et décidé de rendre publique sa sanction.

RGPD : atteinte à la sécurité des données des candidats à la location

 

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur.

Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable.

Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société Sergic de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société.

A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Nous avons dès septembre 2018 alerté nos clients pour présenter nos excuses et annoncer que nous avions corrigé le problème. Aucun phénomène d’intrusion n’a été constaté, aucune utilisation frauduleuse ou vol de données ne s’est produit, mais absence d’incident ou pas, la CNIL a ce 6 juin 2019 décidé de condamner Sergic pour ce défaut de sécurité.

Etienne Dequirez, Directeur Général de Sergic.

Obligation d’une procédure d’authentification des utilisateurs

 

Pour la CNIL, la société Sergic a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD.

En effet, la société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir.

Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Des modalités de conservation des données inappropriées

 

Par ailleurs, la CNIL a constaté que la société Sergic conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Or, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement.

Lorsque cette finalité est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses.

Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

Cet épisode a révélé bien plus qu’une faiblesse ponctuelle sur un site internet. La vérité est que la cohérence des lois et réglementations en la matière se pose par leurs trop grandes déclinaisons, exceptions et particularités. A quel code doit se référer le secteur immobilier ? Quelle consigne sur la durée de conservation des données ? Les réponses sont illisibles. La jeunesse de ce sujet n’aide pas.

Etienne Dequirez

Une amende de 400.000 euros

 

La CNIL a prononcé une amende de 400.000 euros, et décidé de rendre publique sa sanction. Il a été tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes.

De même, il a été pris en compte, la taille de la société et sa surface financière.

Oui, nous sommes donc condamnés, mais condamnés à faire mieux et à faire plus. Nous voulons plus de surveillance, plus de contraintes, mais aussi plus de cohérence et d’uniformité.

Etienne Dequirez

Selon Etienne Dequirez, on ne mobilisera pas l’engagement des entreprises françaises sans leur donner l’intégralité des règles du jeu et sans en simplifier leur parfaite adoption. C’est pourquoi il appelle de ses vœux à un RGPD prônant l’accompagnement et l’appropriation à la sanction.