© Copyright Sfez Avocats 2016-2018 / Cabinet avocat Paris

Tous droits réservés 

Design 

 
  • Grey LinkedIn Icon
  • Grey Facebook Icon
  • Grey Google+ Icon
  • Grey Twitter Icon

RGPD : SANCTION DE 400 000 € DANS LE SECTEUR DE L'IMMOBILIER

23/06/2019

 

La Commission Nationale de l’Informatique et des Libertés (CNIL) vient de publier une délibération sanctionnant une société du secteur de l’immobilier*. Voici ce qu’il faut retenir de cette décision.

 

Contexte

 

La société SEGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière (la « Société »). Elle exploite un site internet permettant aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

 

En août 2018, la CNIL a été saisie d’une plainte d’un utilisateur du site internet signalant, qu’à travers son espace personnel, il avait pu librement accéder aux documents enregistrés par d’autres candidats. La CNIL a alors réalisé un contrôle en ligne, puis un contrôle dans les locaux de la Société. Ces investigations ont permis de relever deux manquements à la règlementation : d’une part, un défaut de sécurité rendant accessible l’ensemble du répertoire stockant les documents des candidats à la location et, d’autre part, la conservation de tous ces documents sans aucune limitation de durée.

 

Manquements constatés par la CNIL

 

Le défaut de sécurité : pour rappel, la règlementation impose au Responsable de traitement d’implémenter des mesures techniques et organisationnelles visant à garantir la sécurité des données personnelles, et notamment à lutter contre tout accès non autorisé aux données, que ce soit de manière accidentelle ou illicite.

 

Or, dans le cas présent, des mesures élémentaires de sécurité n’ont pas été mises en œuvre par la Société. La CNIL reproche en effet l’absence de procédure d’authentification des utilisateurs, permettant de garantir que les personnes accédant aux documents sont bien à l’origine de leur téléchargement dans le répertoire. Ce manquement a eu pour conséquence de rendre accessible près de 300 000 fichiers concernant environ 30 000 personnes (ex. copies de pièce d’identité, carte vitale, fiche de paie, avis d'imposition, attestation CAF, acte de décès, acte de mariage, attestation de pension d’invalidité, jugement de divorce, relevé de compte bancaire, etc.).

 

Une durée de conservation disproportionnée : par ailleurs, la règlementation prévoit que la durée de conservation des données personnelles ne doit pas excéder celle nécessaire aux objectifs pour lesquels elles sont traitées. Ainsi, pour une société de gestion immobilière, cette durée doit se cantonner au temps nécessaire à la sélection d’un locataire (à défaut de poursuite des relations contractuelles avec ce dernier). Si bien que lorsque le candidat n’accède pas à la location du bien immobilier, rien ne justifie la conservation de ses données. La CNIL précise alors que, dans ce cas, les documents des candidats doivent, soit être supprimés de la base active, soit être stockés en archivage intermédiaire (leur accès étant ainsi restreint et leur utilisation limitée au respect de certaines obligations ou prescriptions légales).

 

Or, dans le cas présent, la Société conservait dans ledit répertoire, et ce sans aucune limitation de durée ni d’accès, les données personnelles des candidats s’étant vu refuser la location. Leurs documents n’étaient pourtant jamais réutilisés ultérieurement.

 

Sanction prononcée

 

L’existence de la vulnérabilité du site internet avait été portée à la connaissance de la Société par un utilisateur, dès le mois de mars 2018. Toutefois, aucune mesure corrective n’avait été prise jusqu’aux contrôles de la CNIL à l’automne 2018.

 

Cette inaction pendant une durée de 6 mois, associée à la nature quelque peu sensible ou intime des documents divulgués (ex. jugement de divorce), a incité la CNIL à prononcer une sanction sans mise en demeure préalable et à en faire la publicité.

 

Au vu de ces éléments de contexte, le rapporteur du dossier avait d’ailleurs proposé une sanction financière initiale s’élevant à 900 000 euros (soit plus de 2% du CA annuel de la Société qui s’élevait à 43 millions d’euros en 2017). Toutefois, cette sanction a ensuite été revue à la baisse par la formation restreinte de la CNIL, condamnant ainsi la Société à une amende administrative de 400 000 euros.

 

*********

Nous sommes à votre disposition pour toute question que vous pourriez avoir concernant la délibération de la CNIL. Cette dernière étant l’occasion pour nous de vous rappeler que, parmi les bons réflexes RGPD à adopter : (a) l’audit des mesures de sécurité mises en place au sein de votre entreprise et (b) l’élaboration d’une politique de durée de conservation et de purge des données personnelles, sont plus que jamais de rigueur.

 

* Délibération de la formation restreinte n° SAN – 2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l'encontre de la société SERGIC 

Please reload

Posts Récents
Please reload

Archives
Please reload

TAGS