Sanction pécuniaire prononcée par la CNIL à l’encontre de la société Sergic pour atteinte à la sécurité des données et non-respect des durées de conservation.

Délibération n°SAN-2019-005 du 28 mai 2019

Par cette délibération en date du 28 mai 2019, la CNIL confirme une nouvelle fois son intention de sanctionner le défaut de sécurité relatif aux données personnelles des utilisateurs de sites internet.

En l’espèce, la société spécialisée en gestion immobilière édite un site web qui propose aux candidats à la location ou la vente d’un bien de télécharger des pièces justificatives comme la carte d’identité, l’avis d’imposition ou le relevé de compte nécessaires à la constitution de leur dossier.

La CNIL a été saisie d’une plainte d’un utilisateur du site qui avait réussi à avoir accès aux pièces téléchargées par d’autres utilisateurs du site.

Après deux contrôles effectués par les délégations de la CNIL, deux manquements aux obligations prévues par le RGPD ont été identifiés.

Sur le 1er manquement, la CNIL a considéré que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel prévue à l’article 32 du RGPD.

L’autorité administrative a retenu que la conception du site était défectueuse du fait de l’absence de procédure d’authentification des utilisateurs, cette procédure permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement. Ainsi, la CNIL retient que la société n’avait pas mis en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées ».

A cet effet, la CNIL souligne les particularités de ce manquement. D’abord une très grande quantité de données relatives aux 290 870 fichiers de 29 440 personnes ont été rendu accessibles. Ensuite, la CNIL relève la gravité du manquement au regard de la nature intime et du caractère identifiable des données collectées. Enfin, la CNIL a relevé que la société, qui a eu connaissance du défaut de sécurité au moment du contrôle, a manqué de diligence dans la correction de la vulnérabilité des données, ce qui a prolongé le risque qu’un dommage survienne.

Sur le 2nd manquement, la CNIL a considéré que la société avait manqué à l’obligation de conserver les données pour une durée proportionnée prévue à l’article 5 du RGPD.

En effet, l’article 5-1 du RGPD prévoit que les données à caractère personnel doivent être conservées (…) pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées soit, en l’espèce, jusqu’à l’attribution des logements.

Lorsque cette finalité est atteinte les données doivent être supprimées ou faire l’objet d’un archivage intermédiaire pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées.

Or, lors de la mission de contrôle au sein de la société, la CNIL a constaté que « les documents transmis par les candidats n’ayant pas accédé à l’attribution d’un logement, c’est-à-dire ceux pour lesquels la poursuite du traitement n’était pas justifiée, n’avaient pas été supprimées » et qu’aucune donnée n’avait été archivée selon les dispositions de l’article 5 du RGPD.

Ainsi, la CNIL a considéré qu’un manquement était caractérisé puisque la société a continué de conserver les données des utilisateurs qui n’avaient pas accédé à la location et pour lesquels la durée de conservation des données était échue.

En conséquence, les manquements de la société à ses obligations ont été sanctionnés par l’autorité administrative en tenant compte de sa situation financière et des critères fixés à l’article 83 du RGPD qui dispose que l’autorité de contrôle doit prendre en compte les mesures prises pour atténuer le dommage subi. Elle a donc publiquement condamné la société Sergic au paiement d’une amende de 400 000 euros.

Cette décision reflète la sévérité de la CNIL à l’égard des violations de sécurité.

Tiphaine CHAMPETIER