Par assouslegrand le 02/07/19

Pour les besoins de son activité, la société SERGIC, administrateur de biens, édite le site web www.sergic.com permettant aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

Le 12 août 2018, la Commission nationale de l’informatique et des libertés a été saisie d’une plainte d’un utilisateur du site, le plaignant fournissant plusieurs exemples d’adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers (avis d'imposition, copies de carte d'identité, cartes vitales, actes de décès, actes de mariage, jugement de divorce, relevés de compte, RIB, pensions d’invalidité, quittances de loyers etc.).

Au regard des éléments vérifiés par la Commission, il est reproché à cet administrateur de ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du Règlement.

Pour assurer sa défense l’administrateur de biens fait valoir :

-           que l’exploitation de la vulnérabilité nécessitait des compétences particulières, comme le prouve l’utilisation d’un script par la délégation de contrôle, et qu’elle n’était possible qu’en ayant connaissance de l’adresse URL.

-              qu’aucun utilisateur du site ne lui a rapporté que ses données personnelles avaient fait l’objet d’une utilisation malveillante.

-              que chacun des documents fournis par les candidats à la location est nécessaire pour la constitution du dossier, notamment pour évaluer leur solvabilité, et qu’elle ne demande aux candidats aucune autre pièce que celles visées par le décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au candidat à la location et à sa caution.

-              qu’elle n’a pas la maîtrise des pièces spontanément téléchargées par les candidats alors qu’elles ne figurent pas dans le décret précité.

-              qu’elle ne peut être tenue pour responsable du fait que certains candidats téléchargent leur carte Vitale en tant que justificatif d’identité ou que le numéro d’inscription au répertoire (NIR) figure sur des documents émis par des organismes sociaux que transmettent les personnes.

-              qu’à la suite de la violation de données, elle a planifié la correction de la vulnérabilité sur plusieurs mois, ce qui a abouti à la mise en production le 17 septembre 2018 d’un correctif permettant de mettre définitivement un terme à la vulnérabilité.

Cependant en l'espèce, la formation restreinte de la CNIL fait valoir que l'accès supposait la simple modification d'une variable dans l'adresse URL et que la nature des données pouvant être accessible a été considérée comme une circonstance aggravante.

D’autre part, la commission rappelle que la collecte par la société SERGIC des données personnelles des candidats a pour finalité l’attribution de logements. Dès lors que cette finalité est atteinte, les données personnelles des candidats n’ayant pas accédé à la location ne peuvent plus être conservées au-delà de trois mois, au sein de la base de données active et au-delà faire l’objet d’une séparation logique voire d’un archivage intermédiaire.

Or l’administrateur a indiqué à la délégation de la CNIL que les documents transmis par les candidats n’ayant pas accédé à la location, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données.

Il ressort de ces différents éléments que la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

Pour ces motifs la formation restreinte de la CNIL, après en avoir délibéré, décide notamment de prononcer à l’encontre de la société SERGICune amende administrative d’un montant de 400 000 (quatre cent mille) euros ;

 

CNIL, Délib. n° SAN-2019-005, 28 mai 2019

 

Par assouslegrand le 07/05/19

La CNIL intensifie sa politique répressive en 2019

En 2019, comme les années précédentes, l’action de la CNIL reposera sur deux axes :

  1. l’accompagnement des professionnels dans l’application du RGPD,
  2. le contrôle du respect de leurs obligations.

Cependant, en matière de contrôles et de politique répressive, l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle, que la CNIL avait annoncée début 2018.

En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la loi du 6 janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016.

Un des axes se rapportant à ce nouveau cap concerne la répartition des responsabilités entre responsable de traitements et sous-traitants.

  • Sous l’empire de la loi Informatique et Libertés, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la CNIL pour des manquements à la protection des données.
  • Désormais, le RGPD prévoit de nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables. 

En tout état de cause, comme pour les années précédentes, les missions de contrôle auront également pour origines, en plus du programme annuel exposé :

  • les réclamations et les signalements adressés à la CNIL ;
  • les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
  • les missions réalisées en fonction des sujets d’actualité.

Enfin, la CNIL va poursuivre la coopération initiée en 2018 avec ses homologues européens pour assurer une protection des données personnelles homogène et cohérente sur l’ensemble du territoire de l’Union européenne.

Stratégie de la CNIL pour 2019

 

Par assouslegrand le 12/03/19

La Cnil a mis en ligne une formation complètement gratuite consacrée au RGPD (Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation )

L'atelier du RGPD est structuré en 4 modules :

- notions clés,

-principes de la protection des données,

-responsabilités des acteurs,

-le DPO et les outils de la conformité.

Après inscription, l'utilisateur peut suivre la formation à son rythme. "Une attestation de suivi sera délivrée à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module" précise la Cnil.

https://atelier-rgpd.cnil.fr/