Données personnelles

Faille de sécurité d’un site immobilier : 400 000 euros d’amende | 11 février 2020

La société SERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, a écopé d’une amende CNIL de 400 000 euros pour négligence dans son obligation d’assurer la sécurité des données personnelles de ses clients.    

Faille de sécurité du site de la société

Une faille de sécurité du site permettait de télécharger, entre autres, les avis d’imposition des candidats à la location de logements.  La délégation CNIL a pu procéder au téléchargement de près de 10 000 documents au moyen d’un script, parmi lesquels des copies de cartes d’identité, de cartes Vitale, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers.  

Pouvoirs des agents de la CNIL

Les agents de la Commission peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. En téléchargeant les fichiers à partir des adresses URL, les agents de la CNIL ont bien procédé à une retranscription des données et non pas à une extraction, dans la mesure où les fichiers n’ont pas été déplacés de la base de données de la société mais ont simplement été copiés. En téléchargeant les fichiers rendus librement accessibles par le défaut de sécurité, les agents de la CNIL ont agi dans le respect de leurs attributions.

Mise en demeure facultative

Concernant l’absence de mise en demeure avant sanction, selon la lettre même de l’article 45 de la loi du 6 janvier 1978, le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure. La décision de désigner un rapporteur et de saisir la formation restreinte est un pouvoir appartenant au Président de la CNIL, qui dispose de l’opportunité des poursuites et peut donc déterminer , en fonction des circonstances de l’espèce, les suites à apporter à des investigations en clôturant par exemple un dossier, en prononçant une mise en demeure ou en saisissant la formation restreinte en vue du prononcé d’une ou plusieurs mesures correctrices.

Négligence de sécurité

L’article 32 du RGDP pose l’obligation pour le responsable du traitement et le sous-traitant, de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et cela, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Ces mesures peuvent consister en : i) la pseudonymisation et le chiffrement des données à caractère personnel ; ii) la mise en œuvre de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; iii) la mise en place de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; iv) le déploiement d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

L’accès aux documents conservés par la société traduisait une conception défectueuse du site, caractérisée en l’espèce par l’absence de mise en place d’une procédure d’authentification des utilisateurs. La violation de données résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement sur le répertoire en question, et que seules celles-ci pouvaient y accéder. La mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle, qui aurait permis de garantir la confidentialité des données personnelles traitées, conformément à l’article 32 ii, et de réduire significativement le risque de survenance de cette violation de données.

L’exposition de données à caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses sanctions pécuniaires publiques pour des faits similaires.

Volume et nature des données

Le manquement à l’obligation de sécurité était aggravé au regard de la nature des données à caractère personnel rendues accessibles. En effet, comme exposé précédemment, les documents transmis par les candidats à la location sont de nature très diverse et figuraient notamment, parmi les documents en question, des actes de mariage, des jugements de divorce, des contrats de travail, des documents relatifs à des prestations sociales ou encore des avis d’imposition. Ces documents contiennent à la fois des données d’identification, telles que le nom, le prénom et les coordonnées, mais également une grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes, comme les jugements de divorce.

Manque de réactivité

L’existence de la vulnérabilité sur le site a été portée à la connaissance de la société en mars 2018 et n’a été résolue qu’en septembre 2018. Les données personnelles des utilisateurs ont donc été accessibles durant au moins six mois alors même que la société SERGIC en avait connaissance.

Durée de conservation des données

La société conservait également en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place. Un manquement à l’obligation de conservation des données, telle que prévue par l’article 5 du RGDP était donc caractérisé.

Catégories de données concernées

La gravité des violations a également été appréciée au regard des catégories de données concernées. Les données traitées par la société dans le cadre de la gestion des dossiers des candidats locataires contenaient des informations particulièrement précises sur certains aspects de leur vie privée. Dès lors qu’elle reçoit ce type de données, la société doit apporter une attention toute particulière à la préservation de leur confidentialité et à leurs modalités de conservation. Télécharger la décision

Haut
error: Content is protected !!