RGPD : 400 000€ d'amende pour une agence immobilière

Publié le 11/06/2019

Technologie : La société française prend une amende pour "atteinte à la sécurité des données et non-respect des durées de conservation" et ce dans le cadre du RGPD.

Un véritable missile. La Cnil vient de sanctionner d'un montant de 400 000€ une société française pour "atteinte à la sécurité des données et non-respect des durées de conservation" et ce dans le cadre du RGPD. La société visée se nomme Sergic. Sa faute ? Avoir "insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées".

Sergic est une société spécialisée dans la promotion et la gestion immobilière, l’achat, la vente, et la location de biens immobiliers. Elle édite par ailleurs le site web www.sergic.com.

Une interface stratégique puisque ce site permet aux personnes intéressées de candidater et donc de déposer des pièces justificatives pour constituer des dossiers. Problème, en août dernier, un utilisateur mécontent du site signale avoir pu accéder depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs.

Manquement à l'obligation de préserver la sécurité des données personnelles

Comment ? En modifiant légèrement l’URL affichée dans le navigateur. Copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire ; rien de tout cela n'était protégé.

La CNIL constate sur place que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018. Malgré le développement d'un patch, "ce n’est que le 17 septembre 2018 que la correction totale est devenue effective" note la Cnil.

La Cnil a considéré que la société avait "manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD". De fait, la société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement.
Manquement sur la conservation des données

Par ailleurs, la Cnil a constaté que "la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements". La durée de conservation des données personnelles doit de fait être déterminée en fonction de la finalité du traitement.

En l’occurrence, la conservation des données collectées par le site www.sergic.com auraient du être "soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses". Mais dans ce cas, le stockage doit avoir lieu dans une base distincte.

La Cnil "a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière" mentionne par communiqué la Commission.

Il s'agit de la seconde sanction prononcée par la Cnil dans le cadre du RGPD. Fin janvier, la CNIL avait annoncé avoir infligé une amende record d'un montant de 50 millions d'euros à Google au titre du non-respect du RGPD. La Cnil reprochait à Google d’être à plusieurs reprises trop vague sur les informations concernant le traitement des données personnelles des utilisateurs.

Source : ZdNet