La CNIL sanctionne à nouveau une société pour un défaut de sécurité sur son site web

26 Juin 2019
Anne-Lise BOULET
389
0

Début juin 2019, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 400 000 euros à l’encontre de la société SERGIC pour un manquement à la sécurité et à la limitation de la conservation des données.

La société SERGIC emploie environ 500 personnes et est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Dans le cadre de son activité, la société met à disposition des candidats à la location, un site web permettant de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la Commission nationale de l’informatique et des libertés (CNIL) est saisie d’une plainte d’un utilisateur du site. Celui-ci indique qu’il a pu accéder, depuis son espace personnel, à des documents enregistrés par d’autres utilisateurs, en modifiant simplement l’URL affichée dans le navigateur.

Les deux contrôles consécutifs de la CNIL

Un premier contrôle en ligne réalisé en septembre 2018 va permettre à la CNIL de constater que des documents transmis par des candidats à la location étaient effectivement accessibles sur le site web, sans authentification préalable.

A titre informatif, l’intégralité des documents du répertoire, c’est-à-dire environ 290 870 fichiers, ont été rendus accessibles en raison de ce défaut de sécurité, concernant 29 440 personnes.

Suite à ce contrôle, la CNIL a averti la société SERGIC de l’existence du défaut de sécurité sur le site et de la violation de données qui en découlait.

Quelques jours après, la CNIL a procédé à un nouveau contrôle, cette fois dans les locaux de la société, qui a permis de se rendre compte que la société SERGIC avait connaissance de la vulnérabilité sur son site internet depuis le mois de mars 2018, soit plus de 6 mois auparavant. La société avait bien entamé les développements pour corriger la vulnérabilité mais celle-ci n’a finalement été corrigée qu’au mois de septembre 2018.

En outre, le contrôle dans les locaux de la société a permis de se rendre compte que les documents fournis par les candidats ne faisaient l’objet d’aucune purge.

Les manquements ayant conduit la CNIL à sanctionner la société de gestion immobilière

Les contrôles effectués par la CNIL l’ont conduite à relever deux manquements au Règlement général sur la protection des données (RGPD).

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel prévue à l’article 32 du RGPD

La formation restreinte de la CNIL (l’organe chargé de prononcer les sanctions) a considéré que la société SERGIC n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles des utilisateurs de son site web. En effet, il est reproché à la société de ne pas avoir mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient celles à l’origine de leur téléchargement.

En outre, ce manquement à la sécurité des données est aggravé par plusieurs points, que soulève la CNIL.

En premier lieu, la CNIL observe que « l’exploitation de la vulnérabilité ne requérait pas de maîtrise technique particulière en matière informatique » ; mais également que « l’exposition de données à caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses sanctions pécuniaires publiques pour des faits similaires ».
La mise en place d’une telle fonctionnalité par la société SERGIC sur son site internet était une mesure élémentaire à prendre, qui aurait permis d’éviter la violation de données personnelles.

Ensuite, la CNIL a pointé du doigt l’important délai de correction de la faille de sécurité : les données personnelles des utilisateurs ont été accessibles durant au moins six mois alors même que la société SERGIC en avait connaissance. La société avait précisé que ce délai s’expliquait par la forte demande de locations en période estivale et par la difficulté de suspendre ses activités durant cette période.
La CNIL, peu convaincue, a reconnu que la correction de la vulnérabilité pouvait nécessiter des phases d’analyse et de développements techniques, mais que « des mesures d’urgence n’ayant pas pour objectif de corriger la vulnérabilité mais de réduire l’ampleur de la violation de données étaient techniquement simples à mettre en place et auraient pu être rapidement déployées ».
La CNIL relève donc que la société SERGIC a manqué de diligence dans la correction de la vulnérabilité alors qu’en présence d’une violation de données, le RGPD impose une réaction rapide.

Enfin, c’est la nature des données rendues accessibles qui aggrave d’autant plus le manquement de la société SERGIC. En effet, parmi les documents concernés, se trouvaient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations de la caisse d’allocations familiales, d’actes de mariage, de jugements de divorce, de relevés de compte, etc. Les documents transmis par les candidats à la location sont donc de nature très diverse et certains contiennent à la fois des données susceptibles de révéler des aspects très intimes de la vie privée des personnes, et des données considérées comme hautement personnelles (données financières par exemple).
Si la CNIL ne remet pas en cause la nécessité pour la société de disposer de ces documents pour les besoins de son activité, elle rappelle que le responsable du traitement doit s’assurer de mettre en œuvre des mesures de sécurité proportionnées aux risques, risques devant être appréciés notamment au regard de la nature des données traitées.

Un manquement à l’obligation de conserver les données pour une durée proportionnée prévue à l’article 5 du RGPD

Lors du contrôle effectué dans les locaux de la société SERGIC, la CNIL a relevé que la société SERGIC conservait en base active les documents des candidats n’ayant pas accédé à la location pour une durée excédant celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

Pour justifier de la conservation des documents, la société SERGIC a précisé que les candidats à la location peuvent saisir le Défenseur des droits en alléguant d’une discrimination. Dans ce cas, il est nécessaire à la société de gestion immobilière de pouvoir présenter l’ensemble du dossier soumis par le candidat, et le délai de prescription applicable étant de six ans, les documents étaient conservés pour cette durée.

Malgré les arguments de la société, la CNIL a rappelé les règles établies en matière de conservation des données personnelles : lorsque la finalité du traitement est atteinte, les données peuvent être supprimées ou faire l’objet d’un archivage intermédiaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Ainsi, la CNIL indique que les données personnelles des candidats n’ayant pas accédé à la location ne devraient plus être conservées au-delà de trois mois au sein de la base active et doivent ensuite faire l’objet d’une séparation logique ou d’un archivage intermédiaire.

Par ailleurs, il est ressorti des investigations menées que la société SERGIC n’a formalisé sa politique en matière de conservation des données clients et prospects qu’en novembre 2018, et qu’au mois d’avril 2019, la mise en place d’une solution d’archivage des documents était en cours de réalisation.

La sanction prononcée par la formation restreinte : une sanction proportionnée ?

A l’issue de son instruction, le rapporteur désigné pour cette affaire a rendu un rapport détaillant les manquements relatifs aux articles 5 et 32 du RGPD évoqués précédemment, et a proposé à la formation restreinte de la CNIL de prononcer une sanction pécuniaire de 900 000 euros à l’encontre de la société SERGIC, assortie d’une publicité de la sanction.

La société SERGIC estime quant à elle qu’un tel montant est disproportionné compte tenu de ses capacités financières et des sanctions précédemment prononcées.

La CNIL va dans le sens de la société SERGIC en prononçant une sanction pécuniaire à hauteur de 400 000 euros, qu’elle juge justifiée et proportionnée, ainsi qu’une sanction complémentaire de publicité. La CNIL précise qu’elle a pris en compte la taille de la société et sa surface financière.

Avec un chiffre d’affaires en 2017 d’environ 43 millions d’euros, le montant de la sanction prononcée à l’égard de la société SERGIC s’élève à 0.9% de son chiffre d’affaires.
Si, à première vue, ce montant peut sembler élevé, il est intéressant de faire le parallèle avec la dernière sanction prononcée par la CNIL à l’encontre d’une très petite entreprise (TPE) pour vidéosurveillance excessive des salariés : 20 000 euros, représentant 2.26% de son chiffre d’affaires de 2017, alors même qu’elle réalise un résultat net négatif.
L’argument de la sanction disproportionnée au regard des capacités financières de la société ne permettra pas toujours, semble-t-il, d’échapper à une amende conséquente, et notamment lorsque la société fait preuve d’un manque de diligence avéré, comme c’est le cas autant pour la TPE que pour la société SERGIC.

Par ailleurs, la société SERGIC devra évaluer l’opportunité de contester la sanction prononcée par la CNIL. En effet, pour des manquements identiques en matière de sécurité des données, l’ADEF avait formé un recours suite à sa sanction de juin 2018. La CNIL avait infligé une sanction pécuniaire de 75 000 euros, avec publication de la décision. Le Conseil d’Etat a confirmé le 17 avril 2019 qu’« eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, […], aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil n’a pas infligé à l’Adef une sanction disproportionnée ».

En savoir plus

CNIL : SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation
Legifrance : Délibération SAN-2019-005 du 28 mai 2019