L’agence immobilière SERGIC sanctionnée pour ne pas avoir restreint l’accès aux documents personnels des postulants aux locations

La CNIL a sanctionné la société SERGIC, le 28 mai 2019, pour avoir manqué à l’obligation de sécurité et de confidentialité des données exigée par le RGPD.
La société SERGIC est spécialisée dans l’achat, la vente et la gestion immobilière. La société édite notamment le site « SERGIC.COM », qui permet aux personnes de candidater aux locations et de déposer un dossier.
Le 12 août 2018, la CNIL constate, suite à une plainte d’un utilisateur, que la simple modification d’un nombre dans l’adresse Internet permettait d’accéder aux pièces justificatives envoyées par les candidats. Au total, 290 870 documents étaient ainsi publiquement accessibles sur Internet. Ces documents concernaient 29 440 personnes et contenaient notamment des copies de cartes d’identité, des copies de cartes Vitale, des avis d’imposition, des actes de décès, des actes de mariage, des attestations d’invalidité, des jugements de divorces, des relevés de comptes, des RIB ou des quittances de loyers, c’est-à-dire « une grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes ».
La société SERGIC a été informée de ce défaut de sécurité en mars 2018, mais n’a apporté un correctif qu’en septembre 2018, c’est-à-dire six mois plus tard.
La CNIL a rappelé à la société SERGIC que le RGPD demandait de garantir la confidentialité des données à caractère personnel[1] en prenant « des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[2]. La société SERGIC devait, par conséquent, mettre en œuvre un moyen d’authentification permettant de s’assurer que seules les personnes autorisées pouvaient accéder aux documents.
La CNIL considère également, au sujet de l’application tardive du correctif, que la société SERGIC justifie par « la forte demande de locations en période estivale et par la difficulté de suspendre ses activités durant cette période », que la société aurait dû prendre « a minima toutes les mesures nécessaires dès la connaissance de cette vulnérabilité » pour réduire l’ampleur de la violation de données. De telles mesures « étaient techniquement simples à mettre en place et auraient pu être rapidement déployées ».
Par ailleurs, la CNIL reproche aussi à la société SERGIC d’avoir conservé « en base active » les documents relatifs aux personnes non retenues ayant candidaté pendant « une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place »[1].
Une amende de 400 000 euros a été prononcée à l’encontre de la société SERGIC, soit 0,93 % du chiffre d’affaires l’entreprise[3].
La société a fait appel de cette décision, mais toutes ses demandes ont été rejetées.
Lire :
- La décision de la CNIL n° 2019-005 du 28 mai 2019 concernant la société SERGIC
- La décision du Conseil d’État n° 433311 du 4 novembre 2020 concernant la décision de sanction de la CNIL
Notes et références
- ↑Le RGPD indique que les données à caractère personnel doivent être traitées « de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé […], à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) » (source : RGPD, article 5-1-f). La confidentialité des documents des candidats n’était pas assurée par la société SERGIC, car des tiers non autorisés pouvaient consulter ces documents sur Internet.
- ↑Le RGPD demande « de mett[re] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1). La société SERGIC aurait donc dû implémenter un mécanisme sur son site Internet pour ne pas permettre à une personne non autorisée d’accéder aux documents des candidats.
- ↑La société SERGIC déclare réaliser un chiffre d’affaires d’environ 43 millions d’euros en 2017 (source : délibération de la CNIL).