La Cnil a mis à l’amende la société Sergic pour un montant de 400 000 € pour atteinte à la sécurité des données et le non-respect des durées de conservation des données de ses utilisateurs. La société Sergic a mal sécurisé les données de ses clients et des prospects utilisant son site web.
Une plainte d’un utilisateur en août 2018
En août 2018, la Cnil a reçu une plainte d’un utilisateur du site de la société Sergic indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. La société Sergic est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
La Cnil a réalité un contrôle en ligne le 7 septembre 2018. Elle a constaté que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire. Le même jour, la Cnil a alerté la société Sergic de l’existence de ce défaut et de la violation de données personnelles consécutive.
La Cnil a réalisé quelques jours plus tard, un contrôle sur place dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.
absence de procédure d’authentification
Conséquence, suite aux investigations menées, la Cnil a constaté deux manquements au règlement général sur la protection des données (RGPD). La Cnil considère que la société Sergic a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement.
La Cnil considère qu’il s’agissait d’une mesure élémentaire à prévoir, d’autant plus que les données accessibles étaient particulièrement sensibles et relevaient de la vie intime des personnes. La Cnil considère également que la société a mis trop de temps à corriger la vulnérabilité de son site. Elle n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente. Par ailleurs, la Cnil a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.
La Cnil rappelle que la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire. Pour le montant de la sanction, la Cnil a tenu compte de la taille de la société et de sa surface financière.