L’Essentiel : Une société de promotion immobilière a été condamnée par la CNIL à une amende de 400 000 euros pour avoir négligé la sécurité des données personnelles. Un internaute a alerté la CNIL, qui a pu accéder à près de 10 000 documents sensibles, tels que des copies de cartes d’identité et des jugements de divorce, en modifiant simplement une valeur dans l’URL du site. Ce manquement a été aggravé par la nature intime des données exposées et par l’inaction de la société, qui n’a pas corrigé la vulnérabilité signalée pendant six mois.

Vous disposez d’une base de données nominatives accessibles en ligne ? Attention à mettre en place une procédure d’authentification et à faire auditer votre site internet pour éviter les failles communes de sécurité.

Condamnation d’une société de promotion immobilière

Une société de promotion immobilière a été condamnée par la CNIL à une amende de 400 000 euros. La société avait manqué à son obligation d’assurer la sécurité des données personnelles traitées et n’avait pas mis en œuvre les moyens permettant de garantir leur confidentialité, afin d’empêcher qu’elles soient accessibles à des tiers non autorisés (faille de sécurité du site internet de la société). Suite à l’alerte d’un internaute, la CNIL, a pu, par une modification du caractère X dans l’adresse URL du site, d’accéder aux pièces justificatives de candidats à la location (près de 10 000 documents a minima) : copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers.

Pouvoir des agents de contrôle de la CNIL

Sur le terrain de la preuve, aux termes de l’alinéa 3 du III de l’article 44 de la loi Informatique et Libertés, les agents de la CNIL peuvent, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.  En téléchargeant les fichiers à partir des adresses URL du site, les agents de la CNIL ont bien procédé à une retranscription des données et non pas à une extraction, dans la mesure où les fichiers n’ont pas été déplacés de la base de données de la société mais ont simplement été copiés.

Mise en demeure facultative

Même si les manquements reprochés à la société auraient pu être corrigés dans le cadre d’une mise en demeure, il résulte du III de l’article 45 de la loi du 6 janvier 1978 que le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure.

Manquement à la sécurité

L’article 32 du RGDP pose le principe que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris i) la pseudonymisation, ii) le chiffrement des données à caractère personnel ; iii) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; iv) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; iv) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

En l’espèce, l’accès aux documents conservés par la société traduisait une conception défectueuse du site, caractérisée en l’espèce par l’absence de mise en place d’une procédure d’authentification des utilisateurs. La violation de données résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre un moyen d’authentification. L’exposition de données à caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues. De surcroît, l’exploitation de la vulnérabilité ne requérait pas de maîtrise technique particulière en matière informatique. En effet, la simple modification de la valeur de X dans l’adresse URL du site permettait à toute personne ayant connaissance de l’URL de télécharger les documents en question, sans que la création préalable d’un compte sur le site soit nécessaire, et sans que cela requière une manipulation plus compliquée que la simple modification de la valeur X , qui correspond à un nombre.

Données personnelles intimes

Le manquement à l’obligation de sécurité a été aggravé au regard de la nature des données à caractère personnel rendues accessibles. En effet,  les documents transmis par les candidats à la location étaient de nature très diverse et figuraient notamment, parmi les documents en question, des actes de mariage, des jugements de divorce, des contrats de travail, des documents relatifs à des prestations sociales ou encore des avis d’imposition. Ces documents contiennent à la fois des données d’identification, telles que le nom, le prénom et les coordonnées, mais également une grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes, comme les jugements de divorce. Autre facteur aggravant, l’existence de la vulnérabilité sur le site a été portée à la connaissance de la société mais cette dernière n’a pas réagi pendant au moins six mois.

Purge de la base de données

Enfin, la collecte des données personnelles des candidats avait pour finalité l’attribution de logements. Dès lors que cette finalité était atteinte, les données personnelles des candidats n’ayant pas accédé à la location ne pouvaient plus être conservées au-delà de trois mois, au sein de la base de données active. Au-delà de cette durée, la base de données nominatives aurait dû faire l’objet d’une purge.

Télécharger 

Q/R juridiques soulevées :

Quelle amende a été infligée à la société de promotion immobilière par la CNIL ?

La CNIL a infligé une amende de 400 000 euros à la société de promotion immobilière. Cette sanction a été prononcée en raison de manquements graves à l’obligation de sécurité des données personnelles traitées par la société.

En effet, la société n’avait pas mis en œuvre les mesures nécessaires pour garantir la confidentialité des données, ce qui a permis à un internaute d’accéder à des informations sensibles.

Près de 10 000 documents, comprenant des copies de cartes d’identité, des avis d’imposition et d’autres pièces justificatives, ont été exposés à des tiers non autorisés.

Quels sont les pouvoirs des agents de contrôle de la CNIL ?

Les agents de la CNIL disposent de pouvoirs étendus pour contrôler la conformité des traitements de données personnelles. Selon l’article 44 de la loi Informatique et Libertés, ils peuvent consulter les données accessibles en ligne, même si celles-ci ont été rendues accessibles par imprudence ou négligence.

Ils ont également la capacité d’accéder aux systèmes de traitement automatisé de données pour effectuer des constatations. En l’occurrence, les agents ont téléchargé des fichiers à partir des URL du site, ce qui a été considéré comme une retranscription des données plutôt qu’une extraction.

Cela signifie que les fichiers n’ont pas été déplacés de la base de données, mais simplement copiés pour les besoins du contrôle.

La CNIL doit-elle toujours procéder à une mise en demeure avant de sanctionner ?

Non, la CNIL n’est pas obligée de procéder à une mise en demeure avant de prononcer une sanction. Selon l’article 45 de la loi du 6 janvier 1978, le prononcé d’une sanction peut intervenir sans qu’une mise en demeure préalable soit nécessaire.

Cela signifie que même si les manquements constatés auraient pu être corrigés, la CNIL a la possibilité d’imposer une amende directement. Cette disposition vise à renforcer l’efficacité des contrôles et à garantir la protection des données personnelles.

Quelles mesures de sécurité sont exigées par le RGPD ?

L’article 32 du RGPD impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques.

Ces mesures incluent la pseudonymisation, le chiffrement des données, ainsi que des moyens pour garantir la confidentialité, l’intégrité et la disponibilité des systèmes de traitement.

Il est également requis d’avoir des procédures pour tester et évaluer régulièrement l’efficacité de ces mesures.

L’évaluation du niveau de sécurité doit prendre en compte les risques liés à la destruction, à la perte ou à la divulgation non autorisée des données personnelles.

Quels étaient les manquements spécifiques de la société en matière de sécurité ?

La société a été jugée en défaut en raison de l’absence d’une procédure d’authentification des utilisateurs sur son site. Cette lacune a permis un accès non autorisé aux documents sensibles, ce qui constitue une vulnérabilité majeure.

L’exploitation de cette faille ne nécessitait pas de compétences techniques avancées, car il suffisait de modifier une valeur dans l’URL pour accéder aux données.

Cette situation souligne l’importance d’implémenter des contrôles d’accès adéquats pour protéger les données personnelles contre les accès non autorisés.

Pourquoi la nature des données accessibles a-t-elle aggravé le manquement ?

Le manquement à l’obligation de sécurité a été aggravé par la nature des données personnelles accessibles. Les documents exposés comprenaient des informations très sensibles, telles que des jugements de divorce, des actes de mariage et des contrats de travail.

Ces types de documents contiennent non seulement des données d’identification, mais aussi des informations intimes sur la vie des personnes concernées.

De plus, la société avait été informée de la vulnérabilité de son site, mais n’a pas pris de mesures correctives pendant au moins six mois, ce qui a également contribué à la gravité de la situation.

Quelle est la durée de conservation des données personnelles selon la loi ?

Selon la législation, les données personnelles collectées pour une finalité spécifique, comme l’attribution de logements, ne peuvent être conservées au-delà de trois mois une fois cette finalité atteinte.

Cela signifie que les données des candidats qui n’ont pas obtenu de logement auraient dû être purgées de la base de données active après ce délai.

La non-conformité à cette exigence de purge constitue également un manquement aux obligations de protection des données personnelles, renforçant ainsi la nécessité d’une gestion rigoureuse des informations sensibles.