RGPD – sanction de 400.000€

logo_CNIL

La CNIL vient de prononcer une sanction de 400 000 euros à l’encontre d’une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

C’est à la suite d’une plainte d’un utilisateur du site internet de ladite société que la CNIL a procédé à un contrôle dans ses locaux.

En effet, des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Sur la base des investigations menées, la CNIL a ainsi constaté deux manquements aux disposition du fameux RGPD :

  • L’obligation de préserver la sécurité des données personnelles des utilisateurs compte tenu d’un défaut de procédure d’authentification des utilisateurs et le manque particulier de diligence de la société dans la correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente. 
  • La limitation de la durée de conservation desdites données : la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements. Or, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple  dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La CNIL a ainsi prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. 

Vous avez besoin de compétences ?

Contactez-nous
Consultation en ligne