Jul
02
RGPD : un administrateur de biens condamné à 400 000 euros d'amende

Pour les besoins de son activité, la société SERGIC, administrateur de biens, édite le site web www.sergic.com permettant aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

Le 12 août 2018, la Commission nationale de l’informatique et des libertés a été saisie d’une plainte d’un utilisateur du site, le plaignant fournissant plusieurs exemples d’adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers (avis d'imposition, copies de carte d'identité, cartes vitales, actes de décès, actes de mariage, jugement de divorce, relevés de compte, RIB, pensions d’invalidité, quittances de loyers etc.).

Au regard des éléments vérifiés par la Commission, il est reproché à cet administrateur de ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du Règlement.

Pour assurer sa défense l’administrateur de biens fait valoir :

-           que l’exploitation de la vulnérabilité nécessitait des compétences particulières, comme le prouve l’utilisation d’un script par la délégation de contrôle, et qu’elle n’était possible qu’en ayant connaissance de l’adresse URL.

-              qu’aucun utilisateur du site ne lui a rapporté que ses données personnelles avaient fait l’objet d’une utilisation malveillante.

-              que chacun des documents fournis par les candidats à la location est nécessaire pour la constitution du dossier, notamment pour évaluer leur solvabilité, et qu’elle ne demande aux candidats aucune autre pièce que celles visées par le décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au candidat à la location et à sa caution.

-              qu’elle n’a pas la maîtrise des pièces spontanément téléchargées par les candidats alors qu’elles ne figurent pas dans le décret précité.

-              qu’elle ne peut être tenue pour responsable du fait que certains candidats téléchargent leur carte Vitale en tant que justificatif d’identité ou que le numéro d’inscription au répertoire (NIR) figure sur des documents émis par des organismes sociaux que transmettent les personnes.

-              qu’à la suite de la violation de données, elle a planifié la correction de la vulnérabilité sur plusieurs mois, ce qui a abouti à la mise en production le 17 septembre 2018 d’un correctif permettant de mettre définitivement un terme à la vulnérabilité.

Cependant en l'espèce, la formation restreinte de la CNIL fait valoir que l'accès supposait la simple modification d'une variable dans l'adresse URL et que la nature des données pouvant être accessible a été considérée comme une circonstance aggravante.

D’autre part, la commission rappelle que la collecte par la société SERGIC des données personnelles des candidats a pour finalité l’attribution de logements. Dès lors que cette finalité est atteinte, les données personnelles des candidats n’ayant pas accédé à la location ne peuvent plus être conservées au-delà de trois mois, au sein de la base de données active et au-delà faire l’objet d’une séparation logique voire d’un archivage intermédiaire.

Or l’administrateur a indiqué à la délégation de la CNIL que les documents transmis par les candidats n’ayant pas accédé à la location, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données.

Il ressort de ces différents éléments que la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

Pour ces motifs la formation restreinte de la CNIL, après en avoir délibéré, décide notamment de prononcer à l’encontre de la société SERGICune amende administrative d’un montant de 400 000 (quatre cent mille) euros ;

 

CNIL, Délib. n° SAN-2019-005, 28 mai 2019

 

Ajouter un commentaire

Image CAPTCHA