Vigilance accrue pour les fichiers clients constitués de données personnelles intimes
Publié le :
16/07/2019
16
juillet
juil.
07
2019
La collecte puis le traitement de données personnelles relevant de la vie privée, voire de l’intimité de celle-ci, obligent les responsables de traitements à mettre en œuvre des mesures de sécurité et d’organisation adaptées à la nature de ces données.
La formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé le 28 mai 2019 (Délibération n°SAN-2019-005) une sanction de 400.000 euros à l’encontre de la société Sergic pour ne pas avoir respecté les règles relatives à la protection et celles relatives à la conservation des données personnelles, telle que prévues par le RGPD.
La société Sergic, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, permet à ses clients de télécharger les pièces justificatives nécessaires à la constitution de leur dossier, tels que contrat de travail, avis d’imposition, carte Vitale, acte de mariage, jugement de divorce, relevé de comptes bancaires, etc.
L’obligation d’assurer la sécurité des données personnelles
En août 2018, une plainte a été déposée par un client de Sergic qui avait réussi à accéder aux documents personnels d’autres clients en modifiant légèrement l’URL du site. Un contrôle en ligne de la CNIL a permis de confirmer rapidement ce grief. La CNIL a alerté la société de cette faille de sécurité. Un contrôle sur place a, ensuite, été réalisé. A cette occasion, il est apparu que Sergic avait eu connaissance de ce dysfonctionnement depuis mars 2018 et, malgré des tentatives de corrections par la société, ce n’est que le 17 septembre 2018 que l’incident a été définitivement résolu.
La formation restreinte a considéré que la société avait manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site. La société n’avait en outre même pas mis en place de procédure d’authentification des utilisateurs pour accéder aux documents.
Ce manquement a été aggravé par la nature particulière des données rendues accessibles (situation patrimoniale et familiale) qui relèvent de la vie privée, voire de l’intimité (par ex. jugement de divorce) Ce manquement a aussi été aggravé par le long délai de réaction. En effet, il aura fallu 6 mois à la société pour corriger complètement le problème de sécurité et aucune mesure d’urgence visant à limiter l’impact n’a été prise durant cette période.
Il importe de relever que la CNIL a écarté comme non pertinents les arguments de la société tenant au caractère nécessaire des informations recueillies, à la compétence technique induite pour exploiter cette faille de sécurité ou encore à l’absence de mise en demeure préalable de la CNIL.
L’obligation de conserver les données personnelles pour une durée proportionnée
La CNIL a par ailleurs constaté que la société conservait en base active, sans limitation de durée, les documents des clients n’ayant pas accédé à la location. La CNIL rappelle dans cette décision que la conservation de données personnelles doit être déterminée en fonction de la finalité du traitement.
Si la conservation des données en base active n’est pas justifiée alors il est nécessaire de les supprimer ou d’effectuer un archivage intermédiaire dans une base distincte. Cet archivage intermédiaire doit être justifié et limité au strict nécessaire, avec un accès encore plus restreint.
En l’occurrence, les informations communiquées par les candidats non retenus ne pouvaient être conservées, plus de trois mois après l’attribution du logement, dans la base principale (active) et auraient donc dû être supprimées ou être archivées.
Un risque d’amende jusqu’à 20 M d’euros !
Des deux infractions constatées, c’est le non-respect des délais de conservation qui est le plus lourdement sanctionné par le RGPD (20 millions d’euros ou 4 % du chiffre d’affaires mondial). La CNIL a prononcé une amende de 400.000 euros et décidé de rendre publique sa sanction. La CNIL a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, la taille de la société et sa surface financière.
Christophe Héry, avocat associé,
Article à retrouver sur le site Expression Acheter-Louer.
Historique
-
Le consommateur européen ne peut cumuler action en remboursement auprès de l'organisme de voyage et du transporteur aérien
Publié le : 02/08/2019 02 août août 08 2019Droit de la consommationLe 19 mars 2015, trois personnes ont réservé des vols aller-retour entre Eeld...Source : curia.europa.eu
-
Représentation des salariés aux conseils d'administration : la loi PACTE abaisse le seuil d'effectif
Publié le : 30/07/2019 30 juillet juil. 07 2019Droit des sociétés / Droit des sociétés commerciales et professionnellesLa loi PACTE entend renforcer la représentation des salariés dans les conseil...Source : www.elegia.fr
-
Délit de contrefaçon : pas de double réparation au titre des responsabilités
Publié le : 26/07/2019 26 juillet juil. 07 2019Droit commercial / Droit de la concurrenceSur le moyen unique de cassation, pris de la violation des articles 6, §1, de...Source : www.courdecassation.fr
-
Fusions-acquisitions : zoom sur 4 facteurs de réussite
Publié le : 24/07/2019 24 juillet juil. 07 2019Droit des sociétés / Fusions et acquisitionsMoins de la moitié des fusions acquisitions génère le niveau de création de v...Source : business.lesechos.fr
-
Comment fonctionne la délégation de pouvoir?
Publié le : 23/07/2019 23 juillet juil. 07 2019Droit des sociétés / Droit des sociétés commerciales et professionnellesPourquoi déléguer votre pouvoir et comment le faire ? Comment fonctionne cet...Source : www.jss.fr
-
La loi PACTE et les allègements de procédures dans les fusions de sociétés
Publié le : 17/07/2019 17 juillet juil. 07 2019Droit des sociétés / Fusions et acquisitionsLes modalités d’approbation d’une opération de fusion par une société absorba...Source : business.lesechos.fr
-
Le coup d'accordéon dans le pacte d'actionnaire ne met pas en échec la clause de non-dilution
Publié le : 17/07/2019 17 juillet juil. 07 2019Droit des sociétés / Droit des sociétés commerciales et professionnellesDes associés qui se sont engagés dans un pacte à ce qu'un cosignataire du pac...Source : www.efl.fr
-
Vigilance accrue pour les fichiers clients constitués de données personnelles intimes
Publié le : 16/07/2019 16 juillet juil. 07 2019Publications et SéminairesLa collecte puis le traitement de données personnelles relevant de la vie pri...
-
Producteurs, importateurs et distributeurs : vers une interdiction de jeter les invendus non alimentaires
Publié le : 12/07/2019 12 juillet juil. 07 2019Droit de la consommationVêtements, électroménager, produits d’hygiène et de beauté… Le gaspillage de...Source : www.gouvernement.fr