Sécurité des données : une société immobilière épinglée par la Cnil

11 juin 2019

La Commission nationale de l’informatique et des libertés prononce une amende de 400.000 € à l’encontre de la société Sergic pour manquement à son obligation de préserver la sécurité des données personnelles des utilisateurs.

A la suite de la plainte d’un utilisateur indiquant avoir pu accéder, depuis son espace personnel, à des documents enregistrés par d’autres personnes, la Commission nationale de l’informatique et des libertés (Cnil) a réalisé un contrôle en ligne du site internet de la société de promotion immobilière Sergic, qui permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
Ce contrôle, réalisé le 7 septembre 2018, a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable (copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire). La Cnil a averti le jour même la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive.
Un contrôle sur place réalisé quelques jours après a montré que la société avait connaissance de la vulnérabilité depuis mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.
Sur la base des investigations menées, la formation restreinte de la Cnil a constaté deux manquements au règlement général sur la protection des données (RGPD) :- un manquement à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction ;- la conservation sans limitation de durée en base active de l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.
En conséquence, la formation restreinte a prononcé une amende de 400.000 €, et décidé de rendre publique sa sanction.

– Communiqué de presse de la Cnil du 6 juin 2019 – “SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation” – https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de
– Délibération n° SAN-2019-005 du 28 mai 2019 Délibération de la formation restreinte n° SAN – 2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société SERGIC – https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de