Vigilance accrue pour les fichiers clients constitués de données personnelles intimes
Publié le :
16/07/2019
16
juillet
juil.
07
2019
La collecte puis le traitement de données personnelles relevant de la vie privée, voire de l’intimité de celle-ci, obligent les responsables de traitements à mettre en œuvre des mesures de sécurité et d’organisation adaptées à la nature de ces données.
La formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé le 28 mai 2019 (Délibération n°SAN-2019-005) une sanction de 400.000 euros à l’encontre de la société Sergic pour ne pas avoir respecté les règles relatives à la protection et celles relatives à la conservation des données personnelles, telle que prévues par le RGPD.
La société Sergic, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, permet à ses clients de télécharger les pièces justificatives nécessaires à la constitution de leur dossier, tels que contrat de travail, avis d’imposition, carte Vitale, acte de mariage, jugement de divorce, relevé de comptes bancaires, etc.
L’obligation d’assurer la sécurité des données personnelles
En août 2018, une plainte a été déposée par un client de Sergic qui avait réussi à accéder aux documents personnels d’autres clients en modifiant légèrement l’URL du site. Un contrôle en ligne de la CNIL a permis de confirmer rapidement ce grief. La CNIL a alerté la société de cette faille de sécurité. Un contrôle sur place a, ensuite, été réalisé. A cette occasion, il est apparu que Sergic avait eu connaissance de ce dysfonctionnement depuis mars 2018 et, malgré des tentatives de corrections par la société, ce n’est que le 17 septembre 2018 que l’incident a été définitivement résolu.
La formation restreinte a considéré que la société avait manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site. La société n’avait en outre même pas mis en place de procédure d’authentification des utilisateurs pour accéder aux documents.
Ce manquement a été aggravé par la nature particulière des données rendues accessibles (situation patrimoniale et familiale) qui relèvent de la vie privée, voire de l’intimité (par ex. jugement de divorce) Ce manquement a aussi été aggravé par le long délai de réaction. En effet, il aura fallu 6 mois à la société pour corriger complètement le problème de sécurité et aucune mesure d’urgence visant à limiter l’impact n’a été prise durant cette période.
Il importe de relever que la CNIL a écarté comme non pertinents les arguments de la société tenant au caractère nécessaire des informations recueillies, à la compétence technique induite pour exploiter cette faille de sécurité ou encore à l’absence de mise en demeure préalable de la CNIL.
L’obligation de conserver les données personnelles pour une durée proportionnée
La CNIL a par ailleurs constaté que la société conservait en base active, sans limitation de durée, les documents des clients n’ayant pas accédé à la location. La CNIL rappelle dans cette décision que la conservation de données personnelles doit être déterminée en fonction de la finalité du traitement.
Si la conservation des données en base active n’est pas justifiée alors il est nécessaire de les supprimer ou d’effectuer un archivage intermédiaire dans une base distincte. Cet archivage intermédiaire doit être justifié et limité au strict nécessaire, avec un accès encore plus restreint.
En l’occurrence, les informations communiquées par les candidats non retenus ne pouvaient être conservées, plus de trois mois après l’attribution du logement, dans la base principale (active) et auraient donc dû être supprimées ou être archivées.
Un risque d’amende jusqu’à 20 M d’euros !
Des deux infractions constatées, c’est le non-respect des délais de conservation qui est le plus lourdement sanctionné par le RGPD (20 millions d’euros ou 4 % du chiffre d’affaires mondial). La CNIL a prononcé une amende de 400.000 euros et décidé de rendre publique sa sanction. La CNIL a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, la taille de la société et sa surface financière.
Christophe Héry, avocat associé,
Article à retrouver sur le site Expression Acheter-Louer.
Historique
-
Commissariat aux comptes et loi Pacte : fin du casse-tête ?
Publié le : 04/03/2020 04 mars mars 03 2020Publications et SéminairesRappelons brièvement que la loi PACTE (Loi n° 2019-486 du 22 mai 2019 relativ...
-
Découvrez nos formations 2020 dédiées aux investisseurs
Publié le : 05/02/2020 05 février févr. 02 2020Publications et SéminairesNous lançons une nouvelle formation avec l’appui de FRANCE INVEST, l’associat...
-
Quel contrat pour votre développement international ?
Publié le : 28/01/2020 28 janvier janv. 01 2020Publications et SéminairesAtelier animé par Christophe HERY et organisé par Bretagne commerce Internati...
-
Fautes réciproques de l'agent commercial et de son mandant. Qui gagne ?
Publié le : 27/01/2020 27 janvier janv. 01 2020Publications et SéminairesL’agent commercial ou son mandant (agent immobilier) peuvent tous deux rompre...
-
La rupture brutale de relations commerciales internationales
Publié le : 23/12/2019 23 décembre déc. 12 2019Publications et SéminairesSUDDEN TERMINATION OF INTERNATIONAL CONTRACT Article 442-1.II of the French...
-
La loi Pacte assouplit le régime des actions gratuites et des BSPCE
Publié le : 05/11/2019 05 novembre nov. 11 2019Publications et SéminairesLes mécanismes législatifs destinés à faciliter l'actionnariat salarié se son...
-
Comment établir la réticence dolosive du vendeur ?
Publié le : 03/09/2019 03 septembre sept. 09 2019Publications et SéminairesUne vente a été annulée pour réticence dolosive du vendeur qui a caché à l’ac...
-
Vigilance accrue pour les fichiers clients constitués de données personnelles intimes
Publié le : 16/07/2019 16 juillet juil. 07 2019Publications et SéminairesLa collecte puis le traitement de données personnelles relevant de la vie pri...
-
Critiquer un concurrent ou ses produits et services : Libre expression, diffamation ou dénigrement ?
Publié le : 15/05/2019 15 mai mai 05 2019Publications et SéminairesSi le principe de liberté d’expression est l’un des fondements de notre démoc...