Vigilance accrue pour les fichiers clients constitués de données personnelles intimes

Vigilance accrue pour les fichiers clients constitués de données personnelles intimes

Publié le : 16/07/2019 16 juillet juil. 07 2019

La collecte puis le traitement de données personnelles relevant de la vie privée, voire de l’intimité de celle-ci, obligent les responsables de traitements à mettre en œuvre des mesures de sécurité et d’organisation adaptées à la nature de ces données.

La formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé le 28 mai 2019 (Délibération n°SAN-2019-005) une sanction de 400.000 euros à l’encontre de la société Sergic pour ne pas avoir respecté les règles relatives à la protection et celles relatives à la conservation des données personnelles, telle que prévues par le RGPD.
La société Sergic, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, permet à ses clients de télécharger les pièces justificatives nécessaires à la constitution de leur dossier, tels que contrat de travail, avis d’imposition, carte Vitale, acte de mariage, jugement de divorce, relevé de comptes bancaires, etc.

L’obligation d’assurer la sécurité des données personnelles

En août 2018, une plainte a été déposée par un client de Sergic qui avait réussi à accéder aux documents personnels d’autres clients en modifiant légèrement l’URL du site. Un contrôle en ligne de la CNIL a permis de confirmer rapidement ce grief. La CNIL a alerté la société de cette faille de sécurité. Un contrôle sur place a, ensuite, été réalisé. A cette occasion, il est apparu que Sergic avait eu connaissance de ce dysfonctionnement depuis mars 2018 et, malgré des tentatives de corrections par la société, ce n’est que le 17 septembre 2018 que l’incident a été définitivement résolu.
La formation restreinte a considéré que la société avait manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site. La société n’avait en outre même pas mis en place de procédure d’authentification des utilisateurs pour accéder aux documents.
Ce manquement a été aggravé par la nature particulière des données rendues accessibles (situation patrimoniale et familiale) qui relèvent de la vie privée, voire de l’intimité (par ex. jugement de divorce) Ce manquement a aussi été aggravé par le long délai de réaction. En effet, il aura fallu 6 mois à la société pour corriger complètement le problème de sécurité et aucune mesure d’urgence visant à limiter l’impact n’a été prise durant cette période.
Il importe de relever que la CNIL a écarté comme non pertinents les arguments de la société tenant au caractère nécessaire des informations recueillies, à la compétence technique induite pour exploiter cette faille de sécurité ou encore à l’absence de mise en demeure préalable de la CNIL.
L’obligation de conserver les données personnelles pour une durée proportionnée
La CNIL a par ailleurs constaté que la société conservait en base active, sans limitation de durée, les documents des clients n’ayant pas accédé à la location. La CNIL rappelle dans cette décision que la conservation de données personnelles doit être déterminée en fonction de la finalité du traitement.
Si la conservation des données en base active n’est pas justifiée alors il est nécessaire de les supprimer ou d’effectuer un archivage intermédiaire dans une base distincte. Cet archivage intermédiaire doit être justifié et limité au strict nécessaire, avec un accès encore plus restreint.
En l’occurrence, les informations communiquées par les candidats non retenus ne pouvaient être conservées, plus de trois mois après l’attribution du logement, dans la base principale (active) et auraient donc dû être supprimées ou être archivées.

Un risque d’amende jusqu’à 20 M d’euros !

Des deux infractions constatées, c’est le non-respect des délais de conservation qui est le plus lourdement sanctionné par le RGPD (20 millions d’euros ou 4 % du chiffre d’affaires mondial). La CNIL a prononcé une amende de 400.000 euros et décidé de rendre publique sa sanction. La CNIL a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, la taille de la société et sa surface financière.

Christophe Héry, avocat associé,
Article à retrouver sur le site Expression Acheter-Louer.
 

Historique

<< < ... 55 56 57 58 59 60 61 > >>