400 000 € d’amende pour non respect du RGPD


La CNIL vient de sanctionner de 400 000 euros une société qui n’a pas suffisamment protégé les données des utilisateurs de son site web. Cette societé n’a pas mis en œuvre non plus des modalités proportionnées de conservation des données collectées.

Pour les besoins de son activité, cette société immobilière édite un site web qui permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

Un contrôle en ligne réalisé à la suite d’une plainte a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Il est question de copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

A l’occasion un contrôle operé dans les locaux de la société, il est apparu que la société avait connaissance de la vulnérabilité depuis 6 mois.

Sur la base des investigations menées, la formation restreinte a constaté deux manquements au règlement général sur la protection des données (RGPD).

Un manquement à l’obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente. 

Un manquement à l’obligation de conserver les informations collectées le temps nécessaire au traitement et à la réalisation de sa finalité. Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Cette décision est une occasion de rappeler que la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple  dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

Compte tenu de la gravité du manquement, du manque de diligence dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes, la CNIL a prononcé une amende de 400 000 euros et décidé de rendre publique cette décision. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière.

Pour accéder à la décision complète: c’est ici

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.