Actualités

Lundi 17 juin 2019 - Actualité
RGPD: les sanctions tombent

I) Le RGPD dans les médias


II) Le RGPD: Sanctions dans l’immobilier

La première société française à en faire l’expérience est le spécialiste en services immobiliers SERGIC, important groupe proposant des prestations très variées allant du syndic d’immeuble à l’immobilier d’entreprise en passant par le courtage d’assurances ou la maîtrise d’ouvrage pour un chiffre d’affaires de près de 70 millions d’euros.

Par une délibération du 28 mai 2019, la CNIL a sanctionné le groupe SERGIC avec une amende de 400 000 euros, sanction qui a, de plus, été rendue publique et publiée au Journal Officiel .

La double peine (amende et atteinte à la réputation) est l’objectif poursuivi.

L’amende est donc d’un montant d’environ 0,5 % du chiffre d’affaires alors que la peine encourue atteignait 4 % du chiffre d’affaires, soit 2,8 millions d’euros environ.

Résumé des faits

Les données concernées étaient extrêmement sensibles.

En effet, en tant qu’opérateur immobilier, le groupe SERGIC collecte à bon droit des copies de cartes d’identité, de carte vitale, d’avis d’imposition, de relevés de comptes, de relevés d’identité bancaire voire même des jugements de divorce ou des attestations de caisses d’allocations familiales.

Comme la CNIL le relève, il s’agit de données révélant « des aspects très intimes de la vie des personnes ».

La divulgation de telles données met en danger les personnes concernées, en effet un RIB peut permettre la mise en place de prélèvements frauduleux, l’association de ces divers documents des usurpations d’identité difficiles à détecter par des opérateurs de crédits en ligne, par exemple.

Le premier manquement concerne en effet la sécurité de ces données hautement sensibles, manquement aggravé par un manque singulier de diligence pour le corriger.

En effet, la CNIL a opéré un contrôle en ligne le 7 septembre 2018 suite à une plainte déposée en Août par un citoyen.

Mais il s’est révélé que la faille, aussitôt communiquée par la CNIL à la société, était connue de SERGIC depuis mars 2018.

Il s’agissait de la possibilité d’accéder à des données d’autres utilisateurs en modifiant manuellement l’URL de son propre dossier.

La correction, dont le développement avait commencé, n’a été appliquée que le 17 septembre 2018.

Aucune mesure conservatoire n’avait, de plus, été prise.

Par ailleurs, toujours malgré la sensibilité des données, celles-ci étaient conservées sans limitation de durée.

La CNIL rappelle que les documents ne doivent être conservés que le temps nécessaire pour leur utilité, éventuellement en archivage (donc pas en ligne) pour des précautions en cas de possibilité de litige.

La CNIL dans la présentation de son rapport d’activité 2018, ayant fait le constat de la prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers ainsi que de l’augmentation considérable des plaintes qui lui sont adressées s’est donnée comme objectifs en 2019 de réussir la mise en œuvre du RGPD, à approfondir sa capacité d’expertise sur les infrastructures et plateformes numériques, à continuer à peser dans les discussions européennes et internationales

En 2019, la CNIL souhaite concentrer son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD;

Les contrôles porteront notamment sur l’exercice pratique des droits, ce qui représente 73,8% des plaintes reçues.

Les contrôles porteront essentiellement sur des grandes thématiques qui concernent tous les secteurs plutôt que sur des traitements telles notamment la répartition des responsabilités entre les sous traitants et les donneurs d’ordre, les données des mineurs(publication de photos, biométrie et vidéosurveillance dans les écoles, recueil du consentement des parents pour les enfants de moins de 15ans.)

Si la mise en application du RGPD n’est pas claire pour vous, participez à la formation RGPD organisée par l’association PROCOLLOQUIUM dont l’objectif est d’apprendre l’ensemble du processus qui permet de mettre une organisation en conformité au RGPD.