Une sélection d'actualité sur l'immobilier
chaque semaine ; en quelques clics, tout ce qui vaut le détour
Recherche :
Page 1 sur 1
1
La CNIL sanctionne un grand groupe d’administration de biens
7/6/2019
Le groupe Sergic a été lourdement sanctionné par la CNIL (Commission nationale informatique et libertés) pour ne s’être pas mis en conformité avec le règlement général de protection des données (RGPD).
En août 2018, la CNIL a reçu une plainte d’un utilisateur du site de l’entreprise indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé en septembre a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Circonstance aggravante, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective. Pour la CNIL, le manquement était manifeste : la société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement.
Par ailleurs, à l'occasion de ses investigations, la CNIL a relevé que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements. Alors que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement.
Initialement prévue à 900.000€ l’amende, pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, a été fixée finalement à 400.000 euro. Cette décision peut faire l’objet d’un recours devant le Conseil d’État.