{"id":15741,"date":"2019-07-10T18:15:33","date_gmt":"2019-07-10T16:15:33","guid":{"rendered":"https:\/\/ubiquity-avocats.com\/sanction-pour-atteinte-a-la-securite-des-donnees-et-non-respect-des-durees-de-conservation\/"},"modified":"2019-07-10T18:15:33","modified_gmt":"2019-07-10T16:15:33","slug":"sanction-pour-atteinte-a-la-securite-des-donnees-et-non-respect-des-durees-de-conservation","status":"publish","type":"post","link":"http:\/\/ubiquity-avocats.com\/en\/sanction-pour-atteinte-a-la-securite-des-donnees-et-non-respect-des-durees-de-conservation\/","title":{"rendered":"Sanction pour atteinte \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es et non-respect des dur\u00e9es de conservation"},"content":{"rendered":"

Le 28 mai 2019, la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL) a prononc\u00e9 une amende administrative d\u2019un montant de 400 000 euros<\/strong> \u00e0 l\u2019encontre de la soci\u00e9t\u00e9 SERGIC pour avoir insuffisamment prot\u00e9g\u00e9 les donn\u00e9es des utilisateurs de son site web<\/strong> et mis en \u0153uvre des modalit\u00e9s de conservation inappropri\u00e9es <\/strong>des donn\u00e9es.<\/p>\n

La soci\u00e9t\u00e9 SERGIC est sp\u00e9cialis\u00e9e dans la promotion immobili\u00e8re, l\u2019achat, la vente, la location et la gestion immobili\u00e8re. Pour les besoins de son activit\u00e9, le site web de la soci\u00e9t\u00e9 (www.sergic.com<\/a>) permet aux candidats \u00e0 la location d\u2019un bien de t\u00e9l\u00e9charger les pi\u00e8ces justificatives n\u00e9cessaires \u00e0 la constitution de leur dossier.<\/p>\n

Au mois d\u2019ao\u00fbt 2018, la CNIL a re\u00e7u une plainte d\u2019un utilisateur\u00a0: celui-ci indique qu\u2019en proc\u00e9dant \u00e0 une l\u00e9g\u00e8re modification de l\u2019URL<\/strong> affich\u00e9 dans le navigateur il est possible d\u2019avoir acc\u00e8s, depuis son espace personnel, \u00e0 des documents personnels appartenant aux autres utilisateurs.<\/p>\n

Au mois de septembre 2018, un premier contr\u00f4le en ligne<\/strong> est effectu\u00e9 par la CNIL. La CNIL alerte la soci\u00e9t\u00e9 de l\u2019existence d\u2019un d\u00e9faut de s\u00e9curit\u00e9 constituant une violation de donn\u00e9es personnelles cons\u00e9cutive. En effet, il a \u00e9t\u00e9 constat\u00e9 que les documents, tels que des copies de carte d\u2019identit\u00e9, de carte vitale, d\u2019avis d\u2019imposition, d\u2019identit\u00e9 bancaires, transmis par les candidats \u00e0 la location \u00e9taient librement accessibles sans authentification pr\u00e9alable.<\/p>\n

Par la suite un second contr\u00f4le<\/strong> a \u00e9t\u00e9 r\u00e9alis\u00e9 par la CNIL dans les locaux de la soci\u00e9t\u00e9 permettant de constater que la soci\u00e9t\u00e9 avait connaissance de cette vuln\u00e9rabilit\u00e9 depuis le mois de mars 2018. Des d\u00e9marches avaient \u00e9t\u00e9 entam\u00e9es afin de corriger cette vuln\u00e9rabilit\u00e9 mais la correction totale n\u2019a eu lieu que le 17 septembre 2018.<\/p>\n

La d\u00e9cision de sanction, prononc\u00e9e par la CNIL, repose sur deux manquements au R\u00e8glement G\u00e9n\u00e9ral de la Protection des Donn\u00e9es (RGPD), datant du 27 avril 2016.<\/p>\n

    \n
  1. Manquement \u00e0 l\u2019obligation de s\u00e9curit\u00e9<\/strong><\/li>\n<\/ol>\n

    L\u2019article 32 du RGPD met \u00e0 la charge du responsable de traitement l\u2019obligation d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel trait\u00e9es. Cette obligation permet de garantir la confidentialit\u00e9 des donn\u00e9es<\/strong> et d\u2019en emp\u00eacher l\u2019acc\u00e8s \u00e0 des tiers non-autoris\u00e9s.<\/p>\n

    Sur le site web de la soci\u00e9t\u00e9 SERGIC, la simple modification d\u2019adresse URL permettait aux tiers, depuis leur espace personnel, l\u2019acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel relatives aux autres candidats \u00e0 la location, notamment l\u2019acc\u00e8s aux copies de cartes d\u2019identit\u00e9, de cartes vitale, d\u2019avis d\u2019imposition, d\u2019attestations d\u00e9livr\u00e9es par la caisse d\u2019allocations familiales, de jugements de divorce, relev\u00e9s de compte ou encore d\u2019identit\u00e9s bancaires\u00a0: soit des donn\u00e9es d\u2019une particuli\u00e8re sensibilit\u00e9.<\/p>\n

    La CNIL sanctionne alors l\u2019absence de mise en place, par la soci\u00e9t\u00e9, d\u2019une proc\u00e9dure d\u2019authentification des utilisateurs<\/strong> du site permettant d\u2019assurer que les personnes ayant acc\u00e8s aux documents soient bien celles \u00e0 l\u2019origine de leur t\u00e9l\u00e9chargement. Cette mise en place repr\u00e9sente une mesure \u00e9l\u00e9mentaire afin d\u2019emp\u00eacher l\u2019atteinte \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es.<\/p>\n

    Ce manquement a \u00e9t\u00e9 aggrav\u00e9 en raison du manque particulier de diligence de la soci\u00e9t\u00e9 dans la correction de cette vuln\u00e9rabilit\u00e9 qui n\u2019a \u00e9t\u00e9 corrig\u00e9e compl\u00e8tement que six mois apr\u00e8s le signalement fait \u00e0 la CNIL, ainsi que par l\u2019absence de prise de mesure d\u2019urgence ayant pour objectif de limiter l\u2019impact de la vuln\u00e9rabilit\u00e9. En effet, la soci\u00e9t\u00e9 rapporte que 290 870 fichiers ont \u00e9t\u00e9 rendus accessibles par ce d\u00e9faut de s\u00e9curit\u00e9.<\/p>\n

     <\/p>\n

      \n
    1. Manquement \u00e0 l\u2019obligation de conservation des donn\u00e9es pour une dur\u00e9e proportionn\u00e9e.<\/strong><\/li>\n<\/ol>\n

      L\u2019article 5-1 du RGPD met \u00e0 la charge de l\u2019entreprise l\u2019obligation de conserver les donn\u00e9es personnelles collect\u00e9es pour une dur\u00e9e d\u00e9termin\u00e9e. Par principe, la dur\u00e9e de conservation des donn\u00e9es personnelles doit \u00eatre d\u00e9termin\u00e9e en fonction de la finalit\u00e9 du traitement.<\/p>\n

      Lorsque la finalit\u00e9 est atteinte<\/strong> et qu\u2019aucune autre finalit\u00e9 ne justifie la conservation des donn\u00e9es en base active alors ces donn\u00e9es doivent \u00eatre supprim\u00e9es<\/strong> o\u00f9 faire l\u2019objet d\u2019un archivage interm\u00e9diaire si leur conservation peut se justifier notamment pour le respect d\u2019obligations l\u00e9gales ou \u00e0 des fins pr\u00e9contentieuses ou contentieuses.<\/p>\n

      En l\u2019esp\u00e8ce les documents des candidats n\u2019ayant pas acc\u00e9d\u00e9 \u00e0 la location \u00e9taient conserv\u00e9s par la soci\u00e9t\u00e9, au-del\u00e0 de la dur\u00e9e n\u00e9cessaire \u00e0 l\u2019attribution des logements.<\/p>\n

      Pour se d\u00e9fendre, la soci\u00e9t\u00e9 soutenait que les dossiers \u00e9taient conserv\u00e9s afin de r\u00e9pondre \u00e0 d\u2019\u00e9ventuelles demandes du D\u00e9fenseur des droits en cas d\u2019action de l\u2019un des candidats non retenus. En effet, le d\u00e9lai de prescription applicable aux faits de discrimination<\/strong> est de six ans. Selon SERGIC, c\u2019est pour cette raison que les documents \u00e9taient conserv\u00e9s aussi longtemps et qu\u2019aucun document ant\u00e9rieur \u00e0 2012 n\u2019\u00e9tait relatif aux candidats n\u2019ayant pas acc\u00e9d\u00e9 \u00e0 la location<\/strong>.<\/p>\n

      La CNIL rappelle que la dur\u00e9e de conservation doit \u00eatre proportionn\u00e9e \u00e0 la finalit\u00e9 de traitement<\/strong>. Ici la finalit\u00e9 de traitement n\u2019est autre que l\u2019attribution de logement pour les candidats<\/strong>, la dur\u00e9e de conservation doit \u00eatre proportionn\u00e9e \u00e0 cette\/non-attribution.<\/p>\n

      Une fois cette finalit\u00e9 atteinte la soci\u00e9t\u00e9 est donc dans l\u2019obligation de supprimer les donn\u00e9es ou de les stocker sur une base distincte en archivage interm\u00e9diaire.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Le 28 mai 2019, la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL) a prononc\u00e9 une amende administrative d\u2019un montant de 400 000 euros \u00e0 l\u2019encontre de la soci\u00e9t\u00e9 SERGIC<\/p>\n","protected":false},"author":2,"featured_media":15661,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[115],"tags":[],"class_list":["post-15741","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/posts\/15741","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/comments?post=15741"}],"version-history":[{"count":0,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/posts\/15741\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/media\/15661"}],"wp:attachment":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/media?parent=15741"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/categories?post=15741"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/tags?post=15741"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}