À moins d’une semaine de l’adoption du RGPD, la CNIL frappe. Elle vient d’infliger une lourde amende à la Société Immobilière Sergic pour non-protection de données personnelles. Les observateurs y voient un message fort lancé à tous les utilisateurs de sites Internet.
400 000 euros pour non-protection de données
La nouvelle a vite fait le tour des rédactions des médias : la Commission Nationale d’Informatique et Libertés ou CNIL vient de sanctionner Sergic. Cette dernière est sommée de payer une amende de 400 000 euros. Cette entreprise immobilière dont le siège se trouve dans le Nord de la France, à Wasquehal a « manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site prévue dans l’article 32 du RGPD », a affirmé la CNIL dans son communiqué officiel. Des informations privées et personnelles des clients qui sont des candidats à la location ont été laissées découvertes en ligne. Sergic est spécialisée dans la gestion immobilière et le syndic de copropriété. Elle s’occupe également de la location de vacances ou d’immobilier d’entreprise
Historique des faits.
L’histoire remonte à août 2018. Un abonné du site de Sergic avait saisi la Commission, qualifiée de gendarme français des données personnelles. Il l’a informé d’une infraction commise par Sergic qui n’a pas protégé, comme la loi le requiert, les données privées des clients. Le plaignant a confié qu’il a pu y accéder librement au détriment des autres utilisateurs du site de la société immobilière. La CNIL a pris aussitôt l’affaire en main. Elle a confirmé l’infraction dans un communiqué. Après une vérification en ligne effectuée par ses experts informaticiens, le 7 septembre 2018, la CNIL a déploré qu’il ait suffi de « modifier légèrement l’URL affichée dans le navigateur ». Les experts ont pu accéder en ligne, « sans authentification préalable », à des renseignements personnels : « copies de cartes d’identité, jugement de divorce, attestations de la Caisse d’Allocation Familiale, copies de carte Vitale ».
La Commission a décidé de se rendre sur place pour poursuivre l’enquête. Les choses se sont compliquées pour Sergic qui, toutefois, a fini par reconnaître que son site comporte une vulnérabilité depuis mars 2018. Une correction a été exigée sur-le-champ. Mais apparemment, selon la CNIL, Sergic n’a résolu le problème que le 17 septembre 2018. Bien plus, les données personnelles des clients ont été même classées « sans limitation de durée ». Or, en location, la loi stipule qu’elles doivent être effacées ou archivées hermétiquement lorsque le candidat se voit attribuer un logement. À noter que Sergic est spécialisée dans la gestion immobilière et de syndic de copropriété. Elle prend également en charge la location de vacances ou d’immobilier d’entreprise.
Sergic premier sanctionné suivant le RGPD
Sergic figure parmi les premiers contrevenants sanctionnés suivant le Règlement Général européen pour la Protection des Données. Cet arsenal juridique est entré en vigueur en France depuis le 1er juin 2019. Cette loi définit les droits et les obligations des internautes, notamment en termes de protection de données personnelles, qu’ils soient des particuliers ou des entreprises. Les amendes peuvent atteindre 4 % du chiffre d’affaires du contrevenant. Pour la petite histoire, la CNIL a aussi infligé une amende énorme au géant Google. Autre dossier à suivre.
