La CNIL inflige une 2è sanction GDPR de 400.000 euros

 Ariane Mole

06-2019

La CNIL vient de rendre publique une sanction de 400.000 euros à l’encontre de SERGIC, une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière (Délibération n°SAN-2019-005 du 28 mai 2019).

Encore une fois, les utilisateurs pouvaient accéder aux documents enregistrés par d’autres candidats à la location en modifiant l’URL dans leur navigateur, du fait d’une conception défectueuse du site web. La CNIL a relevé que parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

La CNIL souligne que ce manquement à l’obligation de sécurité pouvait être évité par la mise en place d’une procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement. Cette précaution fait partie en outre des mesures essentielles listées par la CNIL dans son Guide Sécurité publié sur son site.

La CNIL souligne également que ce manquement était aggravé par la nature des données rendues accessibles et par le manque de diligence de la société dans sa correction, la vulnérabilité n’ayant été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de cette vulnérabilité n’ayant été prise dans l’attente.

Les documents transmis par les candidats à la location étaient enfin conservés sans limitation de durée.

La sanction a été prise suite à un contrôle en ligne de la CNIL, suivi d’un contrôle sur place, comme souvent dans ce type d’affaires.