La CNIL inflige une amende de 400 000 € à une société immobilière
Pour atteinte à la sécurité des données et non-respect des durées de conservation
Le 2019-06-07 07:19:05, par Jonathan, Chroniqueur Actualités
La Sergic, dont le siège est situé à Wasquehal, dans le Nord de la France, est une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Dans le cadre de ses activités, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier. Cette société vient d'être frappée par la Commission nationale informatique et libertés (CNIL), d'une amende de 400000 euros pour atteinte à la sécurité des données et non-respect des durées de conservation.
Tout commence au mois d'août de l'année dernière, lorsque la CNIL avait été prévenue par un utilisateur du site internet de Sergic qu'il avait pu accéder à des données appartenant à d'autres utilisateurs. Apparemment, il suffisait de modifier légèrement l'url affichée dans le navigateur pour accéder ainsi aux données des candidats à la location. La CNIL a par la suite réalisé un contrôle en ligne le 7 septembre de la même année, ce qui a permis de constater que des documents comme des copies de cartes d’identité, de cartes Vitale, des avis d’imposition, des attestations délivrées par la caisse d’allocations familiales, des jugements de divorce, des relevés de compte ou encore d’identité bancaire, tous transmis par les candidats à la location, étaient librement accessibles, sans authentification préalable.
La CNIL a immédiatement informé la société au sujet de ce défaut de sécurité. Seulement, suite à un contrôle effectué quelques jours plus tard et cette fois-ci dans les locaux de la société, la CNIL s'est rendue compte que la Sergic connaissait la vulnérabilité depuis mars 2018, mais avait tardé à la corriger, n'apportant de solution complète qu'au 17 septembre 2018, soit 06 mois plus tard. En plus du fait de n'avoir pas assuré la sécurité des données personnelles des utilisateurs de son site comme prévu par l’article 32 du RGPD, les investigations menées par la CNIL lui ont également permis de se rendre compte d'une autre faute commise par la Sergic.
Il s'est avéré que la société conservait les données de ses candidats à la location sans limitation de durée. En temps normal, comme l'a rappelé la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, une fois que les logements ont été attribués, la Sergic était censée soit effacer ces données, soit les placer dans un archivage intermédiaire si leur conservation était nécessaire, pour des raisons légales par exemple. Pour se prononcer sur la sanction à infliger, la formation restreinte a pris en compte la gravité du manquement de la Sergic, ainsi que la taille de la société, et c'est dans un communiqué officiel que la décision a été rendue publique le 06 juin dernier.
Source : CNIL
Et vous ?
Voir aussi :
Tout commence au mois d'août de l'année dernière, lorsque la CNIL avait été prévenue par un utilisateur du site internet de Sergic qu'il avait pu accéder à des données appartenant à d'autres utilisateurs. Apparemment, il suffisait de modifier légèrement l'url affichée dans le navigateur pour accéder ainsi aux données des candidats à la location. La CNIL a par la suite réalisé un contrôle en ligne le 7 septembre de la même année, ce qui a permis de constater que des documents comme des copies de cartes d’identité, de cartes Vitale, des avis d’imposition, des attestations délivrées par la caisse d’allocations familiales, des jugements de divorce, des relevés de compte ou encore d’identité bancaire, tous transmis par les candidats à la location, étaient librement accessibles, sans authentification préalable.
La CNIL a immédiatement informé la société au sujet de ce défaut de sécurité. Seulement, suite à un contrôle effectué quelques jours plus tard et cette fois-ci dans les locaux de la société, la CNIL s'est rendue compte que la Sergic connaissait la vulnérabilité depuis mars 2018, mais avait tardé à la corriger, n'apportant de solution complète qu'au 17 septembre 2018, soit 06 mois plus tard. En plus du fait de n'avoir pas assuré la sécurité des données personnelles des utilisateurs de son site comme prévu par l’article 32 du RGPD, les investigations menées par la CNIL lui ont également permis de se rendre compte d'une autre faute commise par la Sergic.
Il s'est avéré que la société conservait les données de ses candidats à la location sans limitation de durée. En temps normal, comme l'a rappelé la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, une fois que les logements ont été attribués, la Sergic était censée soit effacer ces données, soit les placer dans un archivage intermédiaire si leur conservation était nécessaire, pour des raisons légales par exemple. Pour se prononcer sur la sanction à infliger, la formation restreinte a pris en compte la gravité du manquement de la Sergic, ainsi que la taille de la société, et c'est dans un communiqué officiel que la décision a été rendue publique le 06 juin dernier.
Source : CNIL
Et vous ?
Voir aussi :
-
tmcuhMembre habituéIl faut voir comment fonctionne les sociétés, petites ou grandes d'ailleurs, peu de moyen pour l'informatique, notion très vague de la vie privée ou de la durée de retention des données.
La dernière fois j'ai alarmé 5x un client à ce propos car il pensait (in)justement que parce qu'on lui avait donné un email / numéro de téléphone il pouvait l'utiliser , le partager et l'exploiter comme il voulait.
Trop peu de personnes sont qualifiés pour ce genre de "métier" qui connaissent ce qui est bien, pas bien, etc.
Il faudrait que le gouvernement sorte un document assez clair avec tous les points pratiques pour les sociétés justement et peut être un pour les particulier qu'ils montrent leur droit pour apporter un peu plus de pression sur les sociétés aussi.
Mais l'article ne m'étonne pas : 6 mois, ...le 07/06/2019 à 9:20 -
zaza576Membre actifShay !
Préparez-vous entreprises, à subir mon courroux :-)le 07/06/2019 à 9:00 -
4sStylZMembre éprouvé6 mois c’est beaucoup pour corriger une telle faille.
Mais parfois t’arrive sur un système en tant que dev / presta / whatever et tu te rend compte qu’il y’en a 15 des 0 days de ce genre… Tu les signale, on te donne ou non le budget pour corriger la chose, mais ça prend pas 2 minutes, tu doit parfois refondre des pans complet du logiciel.le 07/06/2019 à 10:00 -
balhrogMembre habitué+1
Ils auraient pu mettre leur site hors-ligne, le temps de régler ces problèmes. Ils ne l'ont pas fait (sûrement pour des questions d'argent) et ils se sont faient avoir. Ils ont joué et ils ont perdu.le 07/06/2019 à 10:49 -
tanaka59InactifBien fait pour leur pomme . Depuis le temps qu'on en parle en plus du RGPD ...le 07/06/2019 à 10:40
-
DoksuriExpert confirméj'ai toujours cru que c'etait une legende, le fait d'envoyer des agens dans les locauxle 07/06/2019 à 15:18
-
tony76Membre régulier400 000 € et pourquoi pas 1 Milliard non mais vraiment
cette union européenne c'est vraiment de la d'aube.
justice à 2 vitesses, et la sécurité social ou un autre service de paiement qui à envoyer un fichier avec 3000 personnes et leur info elle va prendre combien ?le 11/06/2019 à 1:03 -
bib34690Membre habituéNul n'est censé ignorer la loi... même quand elle est incompréhensible.
Qui peut se venter d'être certain à 100% d'être conforme pour le RGPD ?
La majorité des professionnels voudrait bien se mettre en conformité si on prenait la peine de leur expliquer précisément ce qui doit être fait.
Sanctionner aveuglément ne mène à rien, même si dans le cas présent il y a visiblement eu une grosse négligence qui méritait un rappel à l'ordre. Mais 400 000€ ???le 11/06/2019 à 13:42