Vigilance accrue pour les fichiers clients constitués de données personnelles intimes
Publié le :
16/07/2019
16
juillet
juil.
07
2019
La collecte puis le traitement de données personnelles relevant de la vie privée, voire de l’intimité de celle-ci, obligent les responsables de traitements à mettre en œuvre des mesures de sécurité et d’organisation adaptées à la nature de ces données.
La formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé le 28 mai 2019 (Délibération n°SAN-2019-005) une sanction de 400.000 euros à l’encontre de la société Sergic pour ne pas avoir respecté les règles relatives à la protection et celles relatives à la conservation des données personnelles, telle que prévues par le RGPD.
La société Sergic, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, permet à ses clients de télécharger les pièces justificatives nécessaires à la constitution de leur dossier, tels que contrat de travail, avis d’imposition, carte Vitale, acte de mariage, jugement de divorce, relevé de comptes bancaires, etc.
L’obligation d’assurer la sécurité des données personnelles
En août 2018, une plainte a été déposée par un client de Sergic qui avait réussi à accéder aux documents personnels d’autres clients en modifiant légèrement l’URL du site. Un contrôle en ligne de la CNIL a permis de confirmer rapidement ce grief. La CNIL a alerté la société de cette faille de sécurité. Un contrôle sur place a, ensuite, été réalisé. A cette occasion, il est apparu que Sergic avait eu connaissance de ce dysfonctionnement depuis mars 2018 et, malgré des tentatives de corrections par la société, ce n’est que le 17 septembre 2018 que l’incident a été définitivement résolu.
La formation restreinte a considéré que la société avait manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site. La société n’avait en outre même pas mis en place de procédure d’authentification des utilisateurs pour accéder aux documents.
Ce manquement a été aggravé par la nature particulière des données rendues accessibles (situation patrimoniale et familiale) qui relèvent de la vie privée, voire de l’intimité (par ex. jugement de divorce) Ce manquement a aussi été aggravé par le long délai de réaction. En effet, il aura fallu 6 mois à la société pour corriger complètement le problème de sécurité et aucune mesure d’urgence visant à limiter l’impact n’a été prise durant cette période.
Il importe de relever que la CNIL a écarté comme non pertinents les arguments de la société tenant au caractère nécessaire des informations recueillies, à la compétence technique induite pour exploiter cette faille de sécurité ou encore à l’absence de mise en demeure préalable de la CNIL.
L’obligation de conserver les données personnelles pour une durée proportionnée
La CNIL a par ailleurs constaté que la société conservait en base active, sans limitation de durée, les documents des clients n’ayant pas accédé à la location. La CNIL rappelle dans cette décision que la conservation de données personnelles doit être déterminée en fonction de la finalité du traitement.
Si la conservation des données en base active n’est pas justifiée alors il est nécessaire de les supprimer ou d’effectuer un archivage intermédiaire dans une base distincte. Cet archivage intermédiaire doit être justifié et limité au strict nécessaire, avec un accès encore plus restreint.
En l’occurrence, les informations communiquées par les candidats non retenus ne pouvaient être conservées, plus de trois mois après l’attribution du logement, dans la base principale (active) et auraient donc dû être supprimées ou être archivées.
Un risque d’amende jusqu’à 20 M d’euros !
Des deux infractions constatées, c’est le non-respect des délais de conservation qui est le plus lourdement sanctionné par le RGPD (20 millions d’euros ou 4 % du chiffre d’affaires mondial). La CNIL a prononcé une amende de 400.000 euros et décidé de rendre publique sa sanction. La CNIL a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, la taille de la société et sa surface financière.
Christophe Héry, avocat associé,
Article à retrouver sur le site Expression Acheter-Louer.
Historique
-
Vigilance accrue pour les fichiers clients constitués de données personnelles intimes
Publié le : 16/07/2019 16 juillet juil. 07 2019Publications et SéminairesLa collecte puis le traitement de données personnelles relevant de la vie pri...
-
Producteurs, importateurs et distributeurs : vers une interdiction de jeter les invendus non alimentaires
Publié le : 12/07/2019 12 juillet juil. 07 2019Droit de la consommationVêtements, électroménager, produits d’hygiène et de beauté… Le gaspillage de...Source : www.gouvernement.fr
-
Samsung mis en examen pour pratiques commerciales trompeuses
Publié le : 10/07/2019 10 juillet juil. 07 2019Droit commercial / Droit de la concurrenceSamsung Electronics France, a été mise en examen pour "pratiques commerciales...Source : www.novethic.fr
-
Arrêt de principe de la Cour de cassation sur le cybersquatting
Publié le : 05/07/2019 05 juillet juil. 07 2019Droit commercial / Droit de la concurrenceLa Cour de cassation a approuvé la cour d’appel de Versailles qui, après avoi...Source : www.legalis.net
-
Les enjeux de cybersécurité en matière de fusions/acquisitions
Publié le : 03/07/2019 03 juillet juil. 07 2019Droit des sociétés / Fusions et acquisitionsForescout Technologies dévoile les résultats de sa dernière étude sur les enj...Source : www.globalsecuritymag.fr
-
Loi Pacte et modification des seuils rendant obligatoire la nomination d’un commissaire aux comptes
Publié le : 02/07/2019 02 juillet juil. 07 2019Droit des sociétés / Droit des sociétés commerciales et professionnellesLa loi Pacte (plan d’action pour la croissance et la transformation des entre...Source : www.associationmodeemploi.fr
-
Transparence, pratiques restrictives de concurrence et autres pratiques prohibées : ordonnance du 24 avril 2019
Publié le : 28/06/2019 28 juin juin 06 2019Droit commercial / Droit de la distributionUne ordonnance n° 2019-359 du 24 avril 2019 portant refonte du titre IV du li...Source : www.dalloz-actualite.fr
-
La mésentente entre associés peut entraîner la dissolution de la société
Publié le : 25/06/2019 25 juin juin 06 2019Droit des sociétés / Droit des sociétés commerciales et professionnellesUne société, qui est associée d'une société civile immobilière (SCI), et dont...Source : www.efl.fr
-
Quid de la garantie actif passif
Publié le : 19/06/2019 19 juin juin 06 2019Droit des sociétés / Fusions et acquisitionsPratique issue du monde anglo-saxon, la garantie actif passif s’étend à l’Eur...Source : www.argusdelassurance.com