La CNIL inflige une amende de 400 000 € à une société immobilière
Pour atteinte à la sécurité des données et non-respect des durées de conservation

Le , par Jonathan

65PARTAGES

7  0 
La Sergic, dont le siège est situé à Wasquehal, dans le Nord de la France, est une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Dans le cadre de ses activités, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier. Cette société vient d'être frappée par la Commission nationale informatique et libertés (CNIL), d'une amende de 400000 euros pour atteinte à la sécurité des données et non-respect des durées de conservation.

Tout commence au mois d'août de l'année dernière, lorsque la CNIL avait été prévenue par un utilisateur du site internet de Sergic qu'il avait pu accéder à des données appartenant à d'autres utilisateurs. Apparemment, il suffisait de modifier légèrement l'url affichée dans le navigateur pour accéder ainsi aux données des candidats à la location. La CNIL a par la suite réalisé un contrôle en ligne le 7 septembre de la même année, ce qui a permis de constater que des documents comme des copies de cartes d’identité, de cartes Vitale, des avis d’imposition, des attestations délivrées par la caisse d’allocations familiales, des jugements de divorce, des relevés de compte ou encore d’identité bancaire, tous transmis par les candidats à la location, étaient librement accessibles, sans authentification préalable.


La CNIL a immédiatement informé la société au sujet de ce défaut de sécurité. Seulement, suite à un contrôle effectué quelques jours plus tard et cette fois-ci dans les locaux de la société, la CNIL s'est rendue compte que la Sergic connaissait la vulnérabilité depuis mars 2018, mais avait tardé à la corriger, n'apportant de solution complète qu'au 17 septembre 2018, soit 06 mois plus tard. En plus du fait de n'avoir pas assuré la sécurité des données personnelles des utilisateurs de son site comme prévu par l’article 32 du RGPD, les investigations menées par la CNIL lui ont également permis de se rendre compte d'une autre faute commise par la Sergic.

Il s'est avéré que la société conservait les données de ses candidats à la location sans limitation de durée. En temps normal, comme l'a rappelé la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, une fois que les logements ont été attribués, la Sergic était censée soit effacer ces données, soit les placer dans un archivage intermédiaire si leur conservation était nécessaire, pour des raisons légales par exemple. Pour se prononcer sur la sanction à infliger, la formation restreinte a pris en compte la gravité du manquement de la Sergic, ainsi que la taille de la société, et c'est dans un communiqué officiel que la décision a été rendue publique le 06 juin dernier.

Source : CNIL

Et vous ?

Qu'en pensez-vous ?
Comment peut-on expliquer cette négligence de la part de la Sergic ?
Qu'est-ce qui pourrait expliquer que la résolution de cette vulnérabilité ait pû prendre 06 mois à la Sergic ?

Voir aussi :

Violations de données personnelles : la CNIL dresse un premier bilan chiffré quatre mois après l'entrée en application du RGPD
La CNIL dévoile son plan d'action et sa stratégie de contrôle pour 2019 l'accent sera mis sur l'accompagnement des pro dans l'application du RGPD
La CNIL publie une extension pour suivre l'état d'avancement et l'effectivité du droit au déréférencement de données sensibles

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de zaza576
Membre actif https://www.developpez.com
Le 07/06/2019 à 9:00
Shay !

Préparez-vous entreprises, à subir mon courroux :-)
1  0 
Avatar de tmcuh
Membre régulier https://www.developpez.com
Le 07/06/2019 à 9:20
Il faut voir comment fonctionne les sociétés, petites ou grandes d'ailleurs, peu de moyen pour l'informatique, notion très vague de la vie privée ou de la durée de retention des données.
La dernière fois j'ai alarmé 5x un client à ce propos car il pensait (in)justement que parce qu'on lui avait donné un email / numéro de téléphone il pouvait l'utiliser , le partager et l'exploiter comme il voulait.

Trop peu de personnes sont qualifiés pour ce genre de "métier" qui connaissent ce qui est bien, pas bien, etc.
Il faudrait que le gouvernement sorte un document assez clair avec tous les points pratiques pour les sociétés justement et peut être un pour les particulier qu'ils montrent leur droit pour apporter un peu plus de pression sur les sociétés aussi.

Mais l'article ne m'étonne pas : 6 mois, ...
2  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 07/06/2019 à 10:00
6 mois c’est beaucoup pour corriger une telle faille.

Mais parfois t’arrive sur un système en tant que dev / presta / whatever et tu te rend compte qu’il y’en a 15 des 0 days de ce genre… Tu les signale, on te donne ou non le budget pour corriger la chose, mais ça prend pas 2 minutes, tu doit parfois refondre des pans complet du logiciel.
1  0 
Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 07/06/2019 à 10:40
Bien fait pour leur pomme . Depuis le temps qu'on en parle en plus du RGPD ...
1  1 
Avatar de balhrog
Membre régulier https://www.developpez.com
Le 07/06/2019 à 10:49
+1
Ils auraient pu mettre leur site hors-ligne, le temps de régler ces problèmes. Ils ne l'ont pas fait (sûrement pour des questions d'argent) et ils se sont faient avoir. Ils ont joué et ils ont perdu.
1  0 
Avatar de Doksuri
Membre émérite https://www.developpez.com
Le 07/06/2019 à 15:18
j'ai toujours cru que c'etait une legende, le fait d'envoyer des agens dans les locaux
0  0 
Avatar de tony76
Membre régulier https://www.developpez.com
Le 11/06/2019 à 1:03
400 000 € et pourquoi pas 1 Milliard non mais vraiment

cette union européenne c'est vraiment de la d'aube.

justice à 2 vitesses, et la sécurité social ou un autre service de paiement qui à envoyer un fichier avec 3000 personnes et leur info elle va prendre combien ?
0  1 
Avatar de bib34690
Membre habitué https://www.developpez.com
Le 11/06/2019 à 13:42
Nul n'est censé ignorer la loi... même quand elle est incompréhensible.
Qui peut se venter d'être certain à 100% d'être conforme pour le RGPD ?
La majorité des professionnels voudrait bien se mettre en conformité si on prenait la peine de leur expliquer précisément ce qui doit être fait.
Sanctionner aveuglément ne mène à rien, même si dans le cas présent il y a visiblement eu une grosse négligence qui méritait un rappel à l'ordre. Mais 400 000€ ???
0  1 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web