10 Juil Sanction pour atteinte à la sécurité des données et non-respect des durées de conservation
Le 28 mai 2019, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une amende administrative d’un montant de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation inappropriées des données.
La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, le site web de la société (www.sergic.com) permet aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
Au mois d’août 2018, la CNIL a reçu une plainte d’un utilisateur : celui-ci indique qu’en procédant à une légère modification de l’URL affiché dans le navigateur il est possible d’avoir accès, depuis son espace personnel, à des documents personnels appartenant aux autres utilisateurs.
Au mois de septembre 2018, un premier contrôle en ligne est effectué par la CNIL. La CNIL alerte la société de l’existence d’un défaut de sécurité constituant une violation de données personnelles consécutive. En effet, il a été constaté que les documents, tels que des copies de carte d’identité, de carte vitale, d’avis d’imposition, d’identité bancaires, transmis par les candidats à la location étaient librement accessibles sans authentification préalable.
Par la suite un second contrôle a été réalisé par la CNIL dans les locaux de la société permettant de constater que la société avait connaissance de cette vulnérabilité depuis le mois de mars 2018. Des démarches avaient été entamées afin de corriger cette vulnérabilité mais la correction totale n’a eu lieu que le 17 septembre 2018.
La décision de sanction, prononcée par la CNIL, repose sur deux manquements au Règlement Général de la Protection des Données (RGPD), datant du 27 avril 2016.
- Manquement à l’obligation de sécurité
L’article 32 du RGPD met à la charge du responsable de traitement l’obligation d’assurer la sécurité des données à caractère personnel traitées. Cette obligation permet de garantir la confidentialité des données et d’en empêcher l’accès à des tiers non-autorisés.
Sur le site web de la société SERGIC, la simple modification d’adresse URL permettait aux tiers, depuis leur espace personnel, l’accès aux données à caractère personnel relatives aux autres candidats à la location, notamment l’accès aux copies de cartes d’identité, de cartes vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, relevés de compte ou encore d’identités bancaires : soit des données d’une particulière sensibilité.
La CNIL sanctionne alors l’absence de mise en place, par la société, d’une procédure d’authentification des utilisateurs du site permettant d’assurer que les personnes ayant accès aux documents soient bien celles à l’origine de leur téléchargement. Cette mise en place représente une mesure élémentaire afin d’empêcher l’atteinte à la sécurité des données.
Ce manquement a été aggravé en raison du manque particulier de diligence de la société dans la correction de cette vulnérabilité qui n’a été corrigée complètement que six mois après le signalement fait à la CNIL, ainsi que par l’absence de prise de mesure d’urgence ayant pour objectif de limiter l’impact de la vulnérabilité. En effet, la société rapporte que 290 870 fichiers ont été rendus accessibles par ce défaut de sécurité.
- Manquement à l’obligation de conservation des données pour une durée proportionnée.
L’article 5-1 du RGPD met à la charge de l’entreprise l’obligation de conserver les données personnelles collectées pour une durée déterminée. Par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement.
Lorsque la finalité est atteinte et qu’aucune autre finalité ne justifie la conservation des données en base active alors ces données doivent être supprimées où faire l’objet d’un archivage intermédiaire si leur conservation peut se justifier notamment pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses.
En l’espèce les documents des candidats n’ayant pas accédé à la location étaient conservés par la société, au-delà de la durée nécessaire à l’attribution des logements.
Pour se défendre, la société soutenait que les dossiers étaient conservés afin de répondre à d’éventuelles demandes du Défenseur des droits en cas d’action de l’un des candidats non retenus. En effet, le délai de prescription applicable aux faits de discrimination est de six ans. Selon SERGIC, c’est pour cette raison que les documents étaient conservés aussi longtemps et qu’aucun document antérieur à 2012 n’était relatif aux candidats n’ayant pas accédé à la location.
La CNIL rappelle que la durée de conservation doit être proportionnée à la finalité de traitement. Ici la finalité de traitement n’est autre que l’attribution de logement pour les candidats, la durée de conservation doit être proportionnée à cette/non-attribution.
Une fois cette finalité atteinte la société est donc dans l’obligation de supprimer les données ou de les stocker sur une base distincte en archivage intermédiaire.