RGPD : la CNIL prononce une amende de 400.000€ contre une agence immobilière

Pour sa deuxième condamnation dans le cadre du RGPD, la CNIL prononce une amende conséquente sanctionnant l’atteinte à la sécurité des données et le non-respect des durées de conservation.

Dans sa délibération du 28 mai 2019, la formation restreinte de la CNIL a prononcé une amende de 400.000€ à l’encontre de la société SERGIC pour atteinte à la sécurité des données personnelles et non-respect des durées de conservation des données.

Pour rappel, le Règlement général sur la protection des données, dit « RGPD », est entré en vigueur le 25 mai 2018 et vise à harmoniser l’encadrement du traitement des données personnelles sur tout le territoire de l’Union Européenne.

Le RGPD impose le respect d’un certain nombre de principes, renforce les droits des personnes et édicte un panel de sanctions pouvant être prononcées par la CNIL en cas de violation de ses dispositions.

En l’espèce, la société SERGIC, est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle a édicté un site permettant notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

Le 12 août 2018, un utilisateur de ce site a porté plainte auprès de la CNIL, après avoir pu accéder librement aux pièces justificatives téléchargées par d’autres utilisateurs. Il a également indiqué à la CNIL avoir informé la société de ces faits dès le mois de mars 2018.

Après un contrôle en ligne et dans les locaux de la société, les agents de la CNIL ont constaté que les données présentes sur le site litigieux étaient effectivement librement accessibles et qu’elles ne faisaient l’objet d’aucune suppression ou archivage.

Ainsi, la CNIL constate d’une part un manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel. En effet, le défaut de sécurité a rendu possible la violation de données à caractère personnel dans la mesure où il a permis à des tiers non autorisés d’accéder à ces données. En outre, la CNIL souligne que le manquement à l’obligation de sécurité est aggravé par deux facteurs :

- la nature des données rendues accessibles, à savoir notamment : des actes de mariage ou encore des jugements de divorce ; 
- le manque de diligence de la société SERGIC qui a attendu 6 mois avant d’agir.

D’autre part, la CNIL constate un manquement à l’obligation de conserver les données pour une durée proportionnée qui doit être déterminée en fonction de la finalité poursuivie par le traitement. Une fois cette finalité atteinte, les données doivent être supprimées ou archivées.

Or, en l’espèce, la collecte des données personnelles a pour finalité l’attribution de logements. Toutefois, aucune disposition concernant leur suppression ou archivage n’était prévue par la société SERGIC une fois cette finalité atteinte.

En conséquence, la formation restreinte de la CNIL a prononcé, le 28 mai 2019, à l’encontre de la société SERGIC une amende de 400.000€ ainsi que la publicité de la décision.