La Sergic, dont le siège est situé à Wasquehal, dans le Nord de la France, est une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Dans le cadre de ses activités, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier. Cette société vient d'être frappée par la Commission nationale informatique et libertés (CNIL), d'une amende de 400000 euros pour atteinte à la sécurité des données et non-respect des durées de conservation.Tout commence au mois d'août de l'année dernière, lorsque la CNIL avait été prévenue par un utilisateur du site internet de Sergic qu'il avait pu accéder à des données appartenant à d'autres utilisateurs. Apparemment, il suffisait de modifier légèrement l'url affichée dans le navigateur pour accéder ainsi aux données des candidats à la location. La CNIL a par la suite réalisé un contrôle en ligne le 7 septembre de la même année, ce qui a permis de constater que des documents comme des copies de cartes d’identité, de cartes Vitale, des avis d’imposition, des attestations délivrées par la caisse d’allocations familiales, des jugements de divorce, des relevés de compte ou encore d’identité bancaire, tous transmis par les candidats à la location, étaient librement accessibles, sans authentification préalable.
La CNIL a immédiatement informé la société au sujet de ce défaut de sécurité. Seulement, suite à un contrôle effectué quelques jours plus tard et cette fois-ci dans les locaux de la société, la CNIL s'est rendue compte que la Sergic connaissait la vulnérabilité depuis mars 2018, mais avait tardé à la corriger, n'apportant de solution complète qu'au 17 septembre 2018, soit 06 mois plus tard. En plus du fait de n'avoir pas assuré la sécurité des données personnelles des utilisateurs de son site comme prévu par l’article 32 du RGPD, les investigations menées par la CNIL lui ont également permis de se rendre compte d'une autre faute commise par la Sergic.
Il s'est avéré que la société conservait les données de ses candidats à la location sans limitation de durée. En temps normal, comme l'a rappelé la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, une fois que les logements ont été attribués, la Sergic était censée soit effacer ces données, soit les placer dans un archivage intermédiaire si leur conservation était nécessaire, pour des raisons légales par exemple. Pour se prononcer sur la sanction à infliger, la formation restreinte a pris en compte la gravité du manquement de la Sergic, ainsi que la taille de la société, et c'est dans un communiqué officiel que la décision a été rendue publique le 06 juin dernier.
Source : CNIL
Et vous ?
Qu'en pensez-vous ? Comment peut-on expliquer cette négligence de la part de la Sergic ? Qu'est-ce qui pourrait expliquer que la résolution de cette vulnérabilité ait pû prendre 06 mois à la Sergic ?Voir aussi :
Violations de données personnelles : la CNIL dresse un premier bilan chiffré quatre mois après l'entrée en application du RGPD La CNIL dévoile son plan d'action et sa stratégie de contrôle pour 2019 l'accent sera mis sur l'accompagnement des pro dans l'application du RGPD La CNIL publie une extension pour suivre l'état d'avancement et l'effectivité du droit au déréférencement de données sensibles 
