L’essentiel : La société SERGIC a été condamnée à une amende de 400 000 euros par la CNIL en raison d’une négligence grave dans la sécurité des données personnelles de ses clients. Une faille sur son site a permis le téléchargement de près de 10 000 documents sensibles, incluant des copies de cartes d’identité et des avis d’imposition. Malgré une alerte sur cette vulnérabilité en mars 2018, la société n’a pas corrigé le problème avant septembre, exposant ainsi les données personnelles pendant six mois. Ce manquement souligne l’importance cruciale de la protection des données dans le secteur immobilier.

La société SERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, a écopé d’une amende CNIL de 400 000 euros pour négligence dans son obligation d’assurer la sécurité des données personnelles de ses clients.    

Faille de sécurité du site de la société

Une faille de sécurité du site permettait
de télécharger, entre autres, les avis d’imposition des candidats à la location
de logements. La délégation CNIL a pu procéder
au téléchargement de près de 10000 documents au moyen d’un script, parmi
lesquels des copies de cartes d’identité, de cartes Vitale, d’actes de décès,
d’actes de mariage, d’attestations d’affiliation à la sécurité sociale,
d’attestations délivrées par la caisse d’allocations familiales, d’attestations
de pension d’invalidité, de jugements de divorce, de relevés de compte, de
relevés d’identité bancaire et de quittances de loyers.

Pouvoirs des agents de la CNIL

Les agents de la Commission peuvent
notamment, à partir d’un service de communication au public en ligne, consulter
les données librement accessibles ou rendues accessibles, y compris par
imprudence, par négligence ou par le fait d’un tiers, le cas échéant en
accédant et en se maintenant dans des systèmes de traitement automatisé de données
le temps nécessaire aux constatations ; ils peuvent retranscrire les données
par tout traitement approprié dans des documents directement utilisables pour
les besoins du contrôle. En téléchargeant les fichiers à partir des adresses
URL, les agents de la CNIL ont bien procédé à une retranscription des données
et non pas à une extraction, dans la mesure où les fichiers n’ont pas été
déplacés de la base de données de la société mais ont simplement été copiés. En
téléchargeant les fichiers rendus librement accessibles par le défaut de
sécurité, les agents de la CNIL ont agi dans le respect de leurs attributions.

Mise en demeure facultative

Concernant l’absence de mise en demeure
avant sanction, selon la lettre même de l’article 45 de la loi du 6 janvier
1978, le prononcé d’une sanction n’est pas subordonné à l’adoption préalable
d’une mise en demeure. La décision de désigner un rapporteur et de saisir la
formation restreinte est un pouvoir appartenant au Président de la CNIL, qui
dispose de l’opportunité des poursuites et peut donc déterminer , en fonction
des circonstances de l’espèce, les suites à apporter à des investigations en
clôturant par exemple un dossier, en prononçant une mise en demeure ou en
saisissant la formation restreinte en vue du prononcé d’une ou plusieurs
mesures correctrices.

Négligence de sécurité

L’article 32 du RGDP pose l’obligation
pour le responsable du traitement et le sous-traitant, de mettre en œuvre les
mesures techniques et organisationnelles appropriées afin de garantir un niveau
de sécurité adapté au risque et cela, compte tenu de l’état des connaissances,
des coûts de mise en œuvre et de la nature, de la portée, du contexte et des
finalités du traitement ainsi que des risques, dont le degré de probabilité et
de gravité varie, pour les droits et libertés des personnes physiques. Ces mesures
peuvent consister en: i) la pseudonymisation et le chiffrement des
données à caractère personnel ; ii) la mise en œuvre de moyens permettant de
garantir la confidentialité, l’intégrité, la disponibilité et la résilience
constantes des systèmes et des services de traitement ; iii) la mise en place de
moyens permettant de rétablir la disponibilité des données à caractère
personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident
physique ou technique ; iv) le déploiement d’une procédure visant à tester, à
analyser et à évaluer régulièrement l’efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.

Lors de l’évaluation du niveau de sécurité
approprié, il est tenu compte en particulier des risques que présente le
traitement, résultant notamment de la destruction, de la perte, de
l’altération, de la divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d’une autre manière, ou de l’accès non
autorisé à de telles données, de manière accidentelle ou illicite.

L’accès aux documents conservés par la
société traduisait une conception défectueuse du site, caractérisée en l’espèce
par l’absence de mise en place d’une procédure d’authentification des
utilisateurs. La violation de données résultant de ce défaut de sécurité aurait
pu être évitée si, par exemple, la société avait mis en œuvre un moyen
d’authentification permettant de s’assurer que les personnes accédant aux
documents étaient bien celles à l’origine de leur téléchargement sur le
répertoire en question, et que seules celles-ci pouvaient y accéder. La mise en
place d’une telle fonctionnalité constitue une précaution d’usage essentielle,
qui aurait permis de garantir la confidentialité des données personnelles
traitées, conformément à l’article 32 ii, et de réduire significativement le
risque de survenance de cette violation de données.

L’exposition de données à caractère
personnel sans contrôle d’accès préalable est identifiée comme faisant partie
des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses
sanctions pécuniaires publiques pour des faits similaires.

Volume et nature des données

Le manquement à l’obligation de sécurité était
aggravé au regard de la nature des données à caractère personnel rendues
accessibles. En effet, comme exposé précédemment, les documents transmis par
les candidats à la location sont de nature très diverse et figuraient
notamment, parmi les documents en question, des actes de mariage, des jugements
de divorce, des contrats de travail, des documents relatifs à des prestations
sociales ou encore des avis d’imposition. Ces documents contiennent à la fois
des données d’identification, telles que le nom, le prénom et les coordonnées,
mais également une grande quantité d’informations susceptibles de révéler
certains aspects parmi les plus intimes de la vie des personnes, comme les
jugements de divorce.

Manque de réactivité

L’existence de la vulnérabilité sur le
site a été portée à la connaissance de la société en mars 2018 et n’a été
résolue qu’en septembre 2018. Les données personnelles des utilisateurs ont
donc été accessibles durant au moins six mois alors même que la société SERGIC
en avait connaissance.

Durée de conservation des données

La société conservait également en base
active les données à caractère personnel des candidats n’ayant pas accédé à la
location pour une durée excédant dans des proportions importantes celle
nécessaire à la réalisation de la finalité du traitement, à savoir
l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire
n’ait été mise en place. Un manquement à l’obligation de conservation des
données, telle que prévue par l’article 5 du RGDP était donc caractérisé.

Catégories de données concernées

La gravité des violations a également été appréciée au regard des catégories de données concernées. Les données traitées par la société dans le cadre de la gestion des dossiers des candidats locataires contenaient des informations particulièrement précises sur certains aspects de leur vie privée. Dès lors qu’elle reçoit ce type de données, la société doit apporter une attention toute particulière à la préservation de leur confidentialité et à leurs modalités de conservation. Télécharger la décision

Q/R juridiques soulevées :

Quelle amende a été infligée à la société SERGIC et pour quelle raison ?

La société SERGIC a été condamnée à une amende de 400 000 euros par la CNIL en raison de sa négligence dans l’obligation d’assurer la sécurité des données personnelles de ses clients. Cette sanction fait suite à une faille de sécurité sur son site, qui a permis le téléchargement non autorisé de documents sensibles.

Ces documents comprenaient des informations personnelles telles que des copies de cartes d’identité, des avis d’imposition, des jugements de divorce, et d’autres données sensibles. La CNIL a constaté que la société n’avait pas mis en place les mesures de sécurité nécessaires pour protéger ces informations, ce qui a conduit à cette amende significative.

Quelles types de données ont été exposées à la suite de la faille de sécurité ?

La faille de sécurité a permis le téléchargement de près de 10 000 documents, incluant une variété de données personnelles. Parmi ces documents, on trouvait des copies de cartes d’identité, des cartes Vitale, des actes de décès, des actes de mariage, ainsi que des attestations d’affiliation à la sécurité sociale.

Ces données contiennent des informations d’identification telles que le nom, le prénom et les coordonnées des individus, mais également des informations très sensibles qui peuvent révéler des aspects intimes de leur vie, comme des jugements de divorce ou des contrats de travail. La diversité et la nature des données exposées ont aggravé la situation en termes de violation de la vie privée.

Quels sont les pouvoirs des agents de la CNIL lors d’une enquête ?

Les agents de la CNIL disposent de pouvoirs étendus pour mener des enquêtes sur la protection des données. Ils peuvent consulter des données accessibles au public en ligne et, en cas de négligence, accéder à des systèmes de traitement automatisé de données pour effectuer des constatations.

Lors de l’enquête sur SERGIC, les agents ont téléchargé des fichiers à partir d’adresses URL accessibles, ce qui a été considéré comme une retranscription des données plutôt qu’une extraction. Cela signifie qu’ils ont copié les fichiers sans les déplacer de la base de données de la société, agissant ainsi dans le cadre de leurs attributions légales.

Quelles sont les obligations de sécurité selon le RGDP ?

L’article 32 du RGDP impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques. Ces mesures doivent tenir compte de l’état des connaissances, des coûts de mise en œuvre, ainsi que de la nature et des finalités du traitement.

Les mesures de sécurité peuvent inclure la pseudonymisation et le chiffrement des données, la garantie de la confidentialité et de l’intégrité des systèmes, ainsi que la mise en place de procédures pour tester et évaluer régulièrement l’efficacité des mesures de sécurité. La société SERGIC a failli à ces obligations, ce qui a conduit à la violation de données.

Quelles étaient les conséquences du manque de réactivité de SERGIC ?

La société SERGIC a été informée de la vulnérabilité de son site en mars 2018, mais n’a résolu le problème qu’en septembre 2018. Cela signifie que les données personnelles des utilisateurs ont été accessibles pendant au moins six mois, malgré la connaissance de la société de cette faille.

Ce manque de réactivité a non seulement exposé les données à des risques de divulgation non autorisée, mais a également aggravé la situation en termes de responsabilité légale. La CNIL a pris en compte cette inaction dans le cadre de l’évaluation des manquements de la société.

Comment SERGIC a-t-elle manqué à ses obligations de conservation des données ?

La société SERGIC a conservé les données personnelles des candidats à la location, même ceux qui n’avaient pas été retenus, pour une durée excessive par rapport à la finalité du traitement. Selon l’article 5 du RGPD, les données doivent être conservées uniquement aussi longtemps que nécessaire pour atteindre l’objectif pour lequel elles ont été collectées.

En ne mettant pas en place de solution d’archivage intermédiaire, SERGIC a violé cette obligation, ce qui a contribué à la gravité des manquements constatés par la CNIL. La conservation inappropriée des données personnelles expose les individus à des risques accrus de violation de leur vie privée.

Pourquoi la nature des données traitées par SERGIC est-elle préoccupante ?

La nature des données traitées par SERGIC est particulièrement préoccupante en raison de leur sensibilité. Les documents collectés incluaient des informations très personnelles, telles que des jugements de divorce, des contrats de travail, et des documents relatifs à des prestations sociales.

Ces types de données nécessitent une attention particulière en matière de sécurité et de confidentialité. La société devait mettre en œuvre des mesures strictes pour protéger ces informations, car leur divulgation pourrait avoir des conséquences graves sur la vie privée des individus concernés. La gravité des violations a été évaluée en tenant compte de la nature des données exposées.