La CNIL condamne un site spécialisé en immobilier à 400.000 euros d’amende (Délibération du 28 mai 2019)

Deux manquements sont reprochés à la société SERGIC  : le manquement à l’obligation de sécurité des données sur son site web et une conservation des documents des candidats sans limitation de durée

1.Manquement à l’obligation de sécurité des données personnelles sur le site web www.sergic.com

Une modification de l’url relative au téléchargement de pièces justificatives permettait d’accéder aux pièces d’autres candidats à la location  (copies de cartes d’identité, de cartes vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire, de quittances de loyers…).

Ce sont 290 870 fichiers qui ont été rendus accessibles.

La CNIL rappelle que l’accès à des documents sans authentification préalable est un défaut de sécurité et que la mise en place d’une telle fonctionnalité constitue une « précaution d’usage essentielle ».

La société a admis avoir connaissance de ce problème depuis mars 2018. Néanmoins, le correctif n’a été mise œuvre de manière définitive qu’en septembre 2018.

Sur ce point, la formation restreinte lui reproche de n’avoir pris aucune mesure provisoire.

La CNIL estime que le manquement à l’obligation de sécurité est aggravé au regard de la nature des données à caractère personnel rendues accessibles, qui relèvent indubitablement de la vie privée.

  1. Une conservation des documents des candidats sans limitation de durée

Lors du contrôle de la CNIL, la société a indiqué que les documents fournis par les candidats ne faisaient l’objet d’aucune purge.

Lors de l’audition, la société SERGIC a indiqué qu’elle devait conserver les documents au moins 6 ans (délai de prescription en matière de discrimination).

La CNIL rappelle que lorsque la finalité est atteinte, « les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses ».

Selon la CNIL, au-delà de 3 mois, les données des candidats n’ayant pas accédé à la location auraient dû être transférées en archivage intermédiaire.

  1. La sanction

Au regard de la nature de la violation de données, du manque de diligence dans la correction de la vulnérabilité et de l’absence de base d’archivage intermédiaire, la CNIL condamne la société SERGIC à une amende administrative de 400.000 euros (le rapporteur avait proposé 900.000 euros) et prononce la publicité de la sanction.

 

Charlotte GALICHET

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Bookmark the permalink.

Comments are closed