Sécurité des données personnelles : un acteur important de l’immobilier sanctionné par la CNIL
Aujourd’hui, la sécurité représente un enjeu majeur pour apporter la confiance dans la gestion des données personnelles. En ce sens, le Règlement Général sur la Protection des Données (RGPD) a entendu renforcer les obligations en matière de sécurisation des données personnelles et durcir les sanctions en cas de non-respect. Un an après l’entrée en vigueur de ces nouvelles règles, la société Sergic est la première entreprise française à en faire l’expérience.
En tant qu’opérateur immobilier, la société Sergic exploite un site internet sur lequel les candidats à la location peuvent télécharger les pièces justificatives nécessaires à la constitution de leur dossier. Or, une simple modification de l’URL permettait d’accéder librement à 290 870 fichiers téléchargées par des tiers. Sur la base des investigations menées, la CNIL a infligé une lourde sanction pécuniaire à la société pour avoir gravement manqué à deux obligations du RGPD.
Défaut de sécurité des données personnelles
L’article 32 du RGPD met à la charge du responsable de traitement et du sous-traitant, l’obligation de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Or, la CNIL a considéré que la société avait manqué à cette obligation, en sa qualité de responsable de traitement. En effet, cette dernière n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors même qu’il s’agit d’une mesure élémentaire à prévoir.
De surcroit, le manquement a été aggravé par la nature très confidentielle des données rendues accessibles : copies de cartes d’identité, de cartes Vitale, de RIB ou encore d’avis d’imposition. Les risques d’usurpation d’identité et de falsification des documents étaient donc très élevés et concernaient un grand nombre de personnes, caractérisant la gravité du manquement. De même, le manque de diligence de la société dans sa correction a été pris en compte pour sanctionner cette dernière (aucune mesure d’urgence, correction définitive au bout de 6mois).
Conservation des données pendant une durée inappropriée
Également, la CNIL a constaté que la société conservait, sans limitation de durée, en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à la location au-delà de la durée nécessaire à l’attribution de logements. Or, au terme de l’article 5 du RGPD, les données doivent être conservées pendant une durée appropriée. Ainsi, une fois la finalité atteinte, ici la gestion des candidatures, les données doivent être supprimées ou faire l’objet d’un archivage intermédiaire pour une durée déterminée si besoin est, mais en aucun cas être conservées en ligne.
La double peine
D’une part, une amende de 400 000€ a été prononcée à l’encontre de la société Sergic. Si les faits sont similaires à de précédentes affaires (Bouygues, Uber, Alliance France), la CNIL se montre de plus en plus dissuasive dans le montant des amendes administratives qu’elle inflige, témoignant de l’importance qu’elle accorde à la sécurité des données personnelles.
D’autre part, la CNIL a décidé de rendre publique sa délibération. Si cette publicité s’inscrit dans une politique de « name & shame » lorsque la gravité des manquements le justifie, elle peut également s’analyser comme un outil pédagogique d’information. Dans la présente décision, la CNIL indique les modalités de sécurisation et de conservation des données qu’elle considère appropriées. A ce titre, toute entreprise sait désormais qu’elle peut éviter un tel manquement en mettant en place une procédure d’authentification des utilisateurs du site.
Également, la CNIL a publié un guide rappelant les précautions élémentaires devant être mises en œuvre de façon systématique : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
Ainsi, une attention particulière doit être portée à la sécurisation des données personnelles collectées, quelles qu’elle soient, sous peine de se voir infliger une lourde sanction pécuniaire.
Le Cabinet LECLÈRE & LOUVIER est à la disposition de ses clients pour les accompagner dans leur démarche de mise en conformité avec le RGPD.
Article rédigé par Justine PAJOT, étudiante en Master 1 Droit de la propriété intellectuelle, sous la supervision de J. Louvier