Défaut de sécurité et non-respect des durées de conservation : 400.000 € d’amende

29 juillet 2019

La CNIL a prononcé une sanction de 400.000 € à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site internet et n’avoir pas mis en œuvre des modalités de conservation des données appropriées.

Le 12 août 2018, la CNIL a été saisie d’une plainte d’un utilisateur du site de www.sergic.com, édité par la société SERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière.

Le plaignant indiquait qu’une modification d’un caractère dans l’adresse url du site permettait, sans authentification préalable, d’accéder aux pièces justificatives mises en lignes par des candidats à la location. Ces allégations ont été confirmées par un contrôle en ligne, puis sur place, de la CNIL, les 7 et 13 septembre 2018.

Le correctif mettant fin à la vulnérabilité a été mis en production par la société SERGIC le 17 septembre 2018, étant toutefois précisé que cette dernière avait connaissance de ladite vulnérabilité dès le 8 mars 2018. La société SERGIC a également procédé à la notification de la violation de données aux personnes concernées.

A l’issue du contrôle sur place, deux manquements sont constatés par la CNIL, l’un concernant la sécurité des données (1.), l’autre l’obligation de conserver les données pour une durée proportionnée (2.).

  1. S’agissant du manquement à l’obligation d’assurer la sécurité des données, la CNIL relève que le libre accès aux documents conservés par la société traduisait « une conception défectueuse du site, caractérisée en l’espèce par l’absence de mise en place d’une procédure d’authentification des utilisateurs.» et que l’exploitation de la vulnérabilité « ne requérait pas de maîtrise technique particulière en matière informatique»

Elle estime que la société SERGIC n’a pas « mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du Règlement ». Ce manquement est, selon elle, « aggravé au regard de la nature des données à caractère personnel rendues accessibles ».

  1. S’agissant du manquement à l’obligation de conserver les données pour une durée proportionnée, le rapporteur « reproche à la société SERGIC de conserver les documents transmis par les candidats n’ayant pas accédé à la location au-delà de la durée nécessaire à l’atteinte de la finalité pour laquelle les données personnelles ont été collectées et traitées – à savoir la location d’un bien immobilier – et ce sans que cette conservation ne soit encadrée par des garanties appropriées.»

La société SERGIC justifie la durée de conservation des données en indiquant que les personnes concernées étaient susceptibles de saisir le Défenseur des droits en alléguant d’une discrimination, pendant un délai de prescription de six ans.

La formation restreinte de la CNIL lui rétorque que la durée de conservation des données personnelle doit être déterminée en fonction de la finalité poursuivie par le traitement, et que « lorsque cette finalité est atteinte, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Ces données doivent alors être placées en archivage intermédiaire, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Ainsi, après avoir opéré un tri des données pertinentes à archiver, le responsable de traitement doit prévoir, à cet effet, une base de données d’archives dédiée ou une séparation logique dans la base de données active. Cette séparation logique est assurée par la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions, comme par exemple les personnes du service juridique, puissent y accéder. Au-delà de ces durées de conservation des données versées en archives intermédiaires, les données personnelles doivent être supprimées. »

En l’espèce, la formation restreinte rappelle que la collecte a pour finalité l’attribution de logement et que «  dès lors que cette finalité est atteinte, les données personnelles des candidats n’ayant pas accédé à la location ne peuvent plus être conservées au-delà de trois mois, au sein de la base de données active et au-delà faire l’objet d’une séparation logique voire d’un archivage intermédiaire. »

La CNIL relève un manquement à l’obligation de conservation des données, pour les raisons suivantes : « la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place. »

En défense, la société SERGIC argue que les manquements qui lui étaient reprochés auraient pu être corrigés dans le cadre d’une mise en demeure, or, en l’espèce la CNIL a engagé une procédure de sanction, sans mise en demeure préalable, ce qui l’aurait privée de la possibilité de se mettre en conformité.

La CNIL répond à cela que le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure :

« La décision de désigner un rapporteur et de saisir la formation restreinte est un pouvoir appartenant au Président de la CNIL, qui dispose de l’opportunité des poursuites et peut donc déterminer , en fonction des circonstances de l’espèce, les suites à apporter à des investigations en clôturant par exemple un dossier, en prononçant une mise en demeure ou en saisissant la formation restreinte en vue du prononcé d’une ou plusieurs mesures correctrices. »

Lien vers la délibération de la CNIL :

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

DERRIENNIC ASSOCIES 

Tags: , , , ,