Le 28 mai 2019, la CNIL a prononcé une amende de 400 000 euros à l’encontre de la société SERGIC, société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Elle avait annoncé son souhait d’axer sa stratégie de contrôle pour l’année 2018 sur le secteur de l’immobilier et plus précisément sur la nature des pièces demandées par les agences immobilières au titre des demandes de logement et donc le caractère ou non licite de la collecte, mais aussi sur la proportionnalité des données collectées, la durée de conservation appliquée, et les mesures techniques et organisationnelles mises en place afin d‘assurer la sécurité et la confidentialité desdites données.
En l’espèce, la société SERGIC a été sanctionnée par la CNIL sur les deux derniers fondements : à savoir le manquement à son obligation d’assurer la sécurité et la confidentialité des données d’une part, et le manquement à l’obligation de conserver les données pour une durée proportionnée d’autre part.
-
Le manquement à l’obligation d’assurer la sécurité et la confidentialité des données
Lors de la faille de sécurité, les internautes avaient la possibilité de modifier un caractère X dans une adresse URL afin d’accéder à un nombre important de pièces justificatives téléchargées par les candidats à la location. La CNIL précise en effet qu’elle a ainsi pu accéder à 9 446 documents contenant des données à caractère personnel variées : cartes d’identité, cartes vitales, avis d’imposition, actes de décès, actes de mariage, attestations d’affiliation à la sécurité sociale, attestations délivrées par la caisse d’allocations familiales, attestations de pension d’invalidité, jugements de divorce, relevés de compte, relevés d’identité bancaire, quittances de loyers.
C’est la raison pour laquelle la CNIL reproche à la société SERGIC de ne pas avoir mis en place de procédure d’authentification des utilisateurs. En effet, l’autorité de protection des données française a maintes fois sanctionné des entreprises pour ne pas avoir mis en place ce qu’elle estime être une “précaution d’usage essentielle” dans la mesure où elle permet de filtrer les internautes et d’autoriser les internautes à télécharger seulement les documents qu’ils ont eux-mêmes mis en ligne.
Afin de déterminer la portée du manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel posée par l’article 32 du RGPD, la CNIL retient les éléments suivants :
-
aucune maîtrise technique particulière en informatique n’était requise afin d’exploiter la vulnérabilité du site internet de la société ;
-
l’accessibilité de l’intégralité de pièces justificatives téléchargées par les candidats, ce qui représentait en l’espèce 290 870 documents ;
-
le nombre de personnes concernées par la violation, soit 29 440 ;
-
la diversité des données rendues accessibles, ainsi que le caractère très intime de certaines de ces données, ce qui renforce d’autant plus l’obligation de mettre en place des mesures techniques et organisationnelles afin d’assurer la sécurité et la confidentialité des données traitées ;
-
l’absence de prise de mesures d’urgence – telle que le déplacement temporaire desdites pièces justificatives dans un répertoire temporaire ou encore la mise en place d’un filtrage des URL – afin de réduire l’ampleur de la violation.
-
Le manquement à l’obligation de conserver les données pour une durée proportionnée