Le 28 mai 2019, la CNIL a prononcé une amende de 400 000 euros à l’encontre de la société SERGIC, société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Elle avait annoncé son souhait d’axer sa stratégie de contrôle pour l’année 2018 sur le secteur de l’immobilier et plus précisément sur la nature des pièces demandées par les agences immobilières au titre des demandes de logement et donc le caractère ou non licite de la collecte, mais aussi sur la proportionnalité des données collectées, la durée de conservation appliquée, et les mesures techniques et organisationnelles mises en place afin d‘assurer la sécurité et la confidentialité desdites données.

En l’espèce, la société SERGIC a été sanctionnée par la CNIL sur les deux derniers fondements : à savoir le manquement à son obligation d’assurer la sécurité et la confidentialité des données d’une part, et le manquement à l’obligation de conserver les données pour une durée proportionnée d’autre part.

  1. Le manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Lors de la faille de sécurité, les internautes avaient la possibilité de modifier un caractère X dans une adresse URL afin d’accéder à un nombre important de pièces justificatives téléchargées par les candidats à la location. La CNIL précise en effet qu’elle a ainsi pu accéder à 9 446 documents contenant des données à caractère personnel variées : cartes d’identité, cartes vitales, avis d’imposition, actes de décès, actes de mariage, attestations d’affiliation à la sécurité sociale, attestations délivrées par la caisse d’allocations familiales, attestations de pension d’invalidité, jugements de divorce, relevés de compte, relevés d’identité bancaire, quittances de loyers.

C’est la raison pour laquelle la CNIL reproche à la société SERGIC de ne pas avoir mis en place de procédure d’authentification des utilisateurs. En effet, l’autorité de protection des données française a maintes fois sanctionné des entreprises pour ne pas avoir mis en place ce qu’elle estime être une “précaution d’usage essentielle” dans la mesure où elle permet de filtrer les internautes et d’autoriser les internautes à télécharger seulement les documents qu’ils ont eux-mêmes mis en ligne.

Afin de déterminer la portée du manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel posée par l’article 32 du RGPD, la CNIL retient les éléments suivants :

  • aucune maîtrise technique particulière en informatique n’était requise afin d’exploiter la vulnérabilité du site internet de la société ;

  • l’accessibilité de l’intégralité de pièces justificatives téléchargées par les candidats, ce qui représentait en l’espèce 290 870 documents ;

  • le nombre de personnes concernées par la violation, soit 29 440 ;

  • la diversité des données rendues accessibles, ainsi que le caractère très intime de certaines de ces données, ce qui renforce d’autant plus l’obligation de mettre en place des mesures techniques et organisationnelles afin d’assurer la sécurité et la confidentialité des données traitées ;

  • l’absence de prise de mesures d’urgence – telle que le déplacement temporaire desdites pièces justificatives dans un répertoire temporaire ou encore la mise en place d’un filtrage des URL – afin de réduire l’ampleur de la violation.

 

  1. Le manquement à l’obligation de conserver les données pour une durée proportionnée

En outre, il est reproché à la société SERGIC un manquement à son obligation de conserver les données pour une durée proportionnée (article 5-1(e) du RGPD).

En effet, la société SERGIC conserve l’ensemble des pièces justificatives transmises par les candidats à la location pendant une durée de six ans, et ceci même si lesdits candidats n’ont pas été retenus. Or, la CNIL estime que cette durée est disproportionnée au regard de la finalité du traitement en cause, à savoir la location d’un bien immobilier.

De surcroît, cette durée en désaccord avec la finalité n’est pas entourée de garanties appropriées, notamment la mise en place d’une solution d’archivage intermédiaire afin, par exemple, de conserver les données pendant une durée plus longue aux fins de répondre à certains impératifs comme la possibilité pour les candidats évincés de se présenter devant le Défenseur des Droits.

En l’espèce, la CNIL précise que pour cette finalité particulière, la durée de conservation des données personnelles des candidats à la location ne peut excéder trois mois, en ce qui concerne leur conservation en base active. Une fois la période de trois mois écoulée, la société peut toujours conserver lesdites données au sein d’une base d’archivage intermédiaire afin de répondre aux impératifs de protection des données d’une part et de facultés de contestation des candidats évincés d’autre part.

C’est donc au regard de ces éléments que la CNIL a prononcé une amende d’un montant de 400 000 euros à l’encontre de la société SERGIC, pour un chiffre d’affaires s’élevant à environ 43 000 000 d’euros pour l’année 2017. Plusieurs facteurs ont été mis en avant par la CNIL pour expliquer ce montant qui représente presque 1% du chiffre d’affaires de l’entité pour l’année considérée : l’absence de mise en place d’une procédure d’authentification sur le site internet alors que cette procédure constitue une mesure élémentaire qui aurait permis d’éviter la violation de données personnelles d’une part, le manque de célérité de la société dans la correction de la vulnérabilité d’autre part et ceci même si aucune personne physique n’a à ce jour rapporté avoir subi un dommage en raison de ladite violation, et enfin la nature des données dans la mesure où ces dernières contiennent des informations particulièrement précises sur certains aspects de la vie privée des candidats locataires.

La pédagogie de cette nouvelle décision de la CNIL est à saluer, chaque manquement ayant été clairement détaillé. L’absence de renvoi au principe de minimisation interroge cependant puisque SERGIC collectait des pièces dont la nécessité, eu égard à la finalité du traitement, n’est pas manifeste.