CNIL : Contrôle et sanction de 400 000 euros à l’encontre d’un acteur de l’immobilier
FLASH INFO
CNIL : Contrôle et sanction de 400 000 euros à l’encontre d’un acteur de l’immobilier
Après une sanction record à l’encontre de Google en janvier dernier, la CNIL poursuit ses contrôles sur la base du Règlement (UE) 2016/679 Général sur la Protection des Données dit « RGPD » et a prononcé une amende de 400 000 euros à l’encontre d’un administrateur de biens, la société française Sergic, pour avoir insuffisamment protégé les données des utilisateurs sur son site internet et mis en œuvre des modalités de conservation des données inappropriées.
La société Sergic exploite un site internet via lequel ses utilisateurs peuvent notamment télécharger des pièces justificatives relatives à la constitution de leur dossier de location d’un bien immobilier.
Suite à une plainte déposée par un utilisateur du site en août 2018, la CNIL a procédé à un contrôle en ligne puis sur place en septembre 2018 et constaté que divers documents transmis par les utilisateurs du site, tels que des copies de cartes d’identité, d’avis d’imposition, de cartes vitales ou des RIB, étaient librement accessibles par des tiers. Une simple modification dans l’adresse URL du site rendait ainsi possible l’accès à 290 870 fichiers relatifs à 29 440 personnes différentes, sans authentification préalable. Ces données étaient, par ailleurs, stockées par la société sans limitation de durée. Cette faille de sécurité était connue de la société depuis plusieurs mois.
À l’issue de ses contrôles, et sans mise en demeure préalable, la CNIL a considéré dans sa délibération du 28 mai 2019, que la société Sergic avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses utilisateurs, prévue par l’article 32 du RGPD et à celle de déterminer et appliquer une politique de conservation des données ( l’article 5-1- e du RGPD).
La sévérité de cette délibération peut s’expliquer notamment par la nature des données personnelles en libre-accès, la nature du manquement (l’obligation de sécuriser les données n’est pas une innovation du RGPD) ainsi que le manque de diligence de la société suite à la connaissance de cette faille de sécurité.
La CNIL continue donc de conduire ses contrôles en ligne – de manière anonyme – ou sur place sur initiative de plainte, procédure qui peut viser tout secteur y compris celui de l’immobilier. Il est désormais attendu un niveau de maturité certain des entreprises dans leur conformité aux exigences du RGPD. Celles traitant des données personnelles doivent aujourd’hui être en mesure de réagir efficacement face aux failles de sécurité et coopérer de manière appropriée avec la CNIL en cas de contrôle, le cas échéant en se faisant assister par un conseil et par suite, considérer les voies de recours en cas de sanction.
Nous vous invitons à vous préparer à cette éventualité en vous assurant de votre niveau de conformité aux dispositions du RGPD et de la Loi Informatique et Libertés modifiée, mais également en sensibilisant vos équipes.