Une société de promotion immobilière a été condamnée par la CNIL à une amende de 400 000 euros pour avoir négligé la sécurité des données personnelles. Un internaute a alerté la CNIL, qui a pu accéder à près de 10 000 documents sensibles, tels que des copies de cartes d’identité et des jugements de divorce, en modifiant simplement une valeur dans l’URL du site. Ce manquement, aggravé par la nature intime des données exposées et l’absence de réaction de la société pendant six mois, souligne l’importance d’une authentification adéquate et d’une gestion rigoureuse des données.. Consulter la source documentaire.

Quelle amende a été infligée à la société de promotion immobilière par la CNIL ?

La CNIL a infligé une amende de 400 000 euros à la société de promotion immobilière. Cette sanction a été prononcée en raison du manquement de la société à son obligation de garantir la sécurité des données personnelles qu’elle traitait.

En effet, la société n’avait pas mis en œuvre les mesures nécessaires pour assurer la confidentialité des données, ce qui a permis à un internaute d’accéder à des informations sensibles.

Près de 10 000 documents, comprenant des copies de cartes d’identité, des avis d’imposition et d’autres pièces justificatives, ont été exposés à des tiers non autorisés, illustrant ainsi une grave faille de sécurité sur le site internet de la société.

Quels sont les pouvoirs des agents de contrôle de la CNIL ?

Les agents de la CNIL disposent de pouvoirs étendus pour contrôler la conformité des traitements de données personnelles. Selon l’article 44 de la loi Informatique et Libertés, ils peuvent consulter les données accessibles en ligne, même si celles-ci ont été rendues accessibles par imprudence ou négligence.

Ils ont également la capacité d’accéder aux systèmes de traitement automatisé de données pour effectuer des constatations. En l’occurrence, les agents de la CNIL ont téléchargé des fichiers à partir des adresses URL du site, ce qui a été considéré comme une retranscription des données plutôt qu’une extraction.

Cela signifie qu’ils ont simplement copié les fichiers sans les déplacer de la base de données de la société, ce qui est conforme à leurs prérogatives de contrôle.

La mise en demeure est-elle obligatoire avant une sanction ?

Non, la mise en demeure n’est pas obligatoire avant le prononcé d’une sanction par la CNIL. Selon l’article 45 de la loi du 6 janvier 1978, même si les manquements peuvent être corrigés par une mise en demeure, cela ne conditionne pas l’imposition d’une sanction.

Cela signifie que la CNIL peut directement infliger une amende ou d’autres mesures sans avoir à passer par une étape préalable de mise en demeure. Cette disposition vise à renforcer l’efficacité des contrôles et à garantir la protection des données personnelles.

Quelles sont les obligations de sécurité selon le RGPD ?

L’article 32 du RGPD impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques.

Ces mesures incluent la pseudonymisation, le chiffrement des données, ainsi que des moyens pour garantir la confidentialité, l’intégrité et la disponibilité des systèmes de traitement.

Il est également requis d’avoir des procédures pour tester et évaluer régulièrement l’efficacité de ces mesures. En cas de manquement, comme dans le cas de la société de promotion immobilière, des sanctions peuvent être appliquées.

Quels types de données personnelles ont été exposés dans cette affaire ?

Les données personnelles exposées comprenaient des documents très variés, tels que des actes de mariage, des jugements de divorce, des contrats de travail, et des avis d’imposition.

Ces documents contiennent non seulement des informations d’identification, comme le nom et les coordonnées, mais aussi des données sensibles qui peuvent révéler des aspects intimes de la vie des personnes concernées.

L’exposition de ces données a été aggravée par le fait que la société avait été informée de la vulnérabilité de son site, mais n’avait pas pris de mesures correctives pendant au moins six mois.

Quelle est la durée de conservation des données personnelles selon la loi ?

Selon la législation, les données personnelles collectées pour une finalité spécifique, comme l’attribution de logements, ne peuvent être conservées au-delà de trois mois une fois cette finalité atteinte.

Dans le cas de la société de promotion immobilière, les données des candidats qui n’avaient pas obtenu de logement auraient dû être purgées de la base de données active après ce délai.

Cette obligation de purge vise à protéger la vie privée des individus et à limiter la conservation des données à ce qui est strictement nécessaire pour les finalités pour lesquelles elles ont été collectées.