RGPD : un grand groupe d’administration de biens sanctionné par la CNIL

Dans le cadre du développement – souhaitable – des échanges dématérialisés dans la mise en œuvre des opérations de location, des administrateurs de biens invitent les candidats locataires à télécharger les pièces justificatives nécessaires à la constitution de leur dossier. Il s’agit de données personnelles sensibles qui doivent être correctement protégées et qui ne doivent pas être conservées au-delà du temps nécessaire à l’exécution de l’opération pour laquelle elles ont été demandées. Pour ne s’être pas mis en conformité sur ces deux points avec le règlement général de protection des données (RGPD – notre ressource du 09/05/2018 «RGPD : c’est pour le 25 mai…»), le groupe Sergic a été lourdement sanctionné par la CNIL (Commission nationale informatique et libertés).
En août 2018, la CNIL a reçu une plainte d’un utilisateur du site de l’entreprise indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé en septembre a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective. Le manquement était manifeste : la société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement.
Mais sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté un autre manquement au RGPD : la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements. Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.
La formation restreinte a prononcé une amende de 400.000 euros, et décidé de rendre publique sa sanction.

(1) CNIL – Délibération n°SAN-2019-005 du 28 mai 2019



Source: www.universimmo-pro.com

07/06/2019