La CNIL (Commission Nationale Informatique et Libertés) vient de sanctionner d’une amende de 400 000 euros, une agence immobilière, la SERGIC, pour “atteinte à la sécurité des données et non-respect des durées de conservation”.
Nous vous en parlons depuis sa mise en place en mai 2018 (voir notre article ici), la loi RGPD (Règlement Général de Protection des Données) instaure un certain nombre de contraintes liées à la captation, l’utilisation et la conservation des données informatiques.
C’est la première fois qu’une amende de cette importance est donnée à une PME.
Rappelons que les sanctions peuvent être très lourdes : ” le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.” source : www.cnil.fr
Manquement à l’obligation de préserver la sécurité des données personnelles
La SERGIC, agence immobilière, a été lourdement sanctionnée (400 000 euros d’amende) suite au signalement par un utilisateur de son site. En effet sur le site de cette agence immobilière il est possible d’uploader des pièces justificatives pour constituer un dossier.
Or, en changeant l’URL cet utilisateur s’est aperçu que les données des internautes étaient accessibles à tous : avis d’imposition, carte vitale, relevés de carte bancaire etc… Bref, tout ce que vous pouvez uploader sur un site d’agence immobilière pour constituer un dossier et donc des éléments souvent très personnels et sensibles.
La CNIL a considéré que, malgré ses rappels à la loi, la société n’avait pas mis en place les correctifs nécessaires et “manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD”.
Manquement sur la conservation des données
Enfin deuxième point, la CNIL a considéré que la conservation de certaines données par la SERGIC était illégale.
Concrètement, les données des candidats n’ayant pas été retenus pour une location étaient conservées dans une base de données active et non détruites.
Rappelons que “la durée de conservation des données personnelles doit de fait être déterminée en fonction de la finalité du traitement”
Google épinglé aussi
Google avait déjà été épinglé par la CNIL fin janvier 2019 avec une amende de 50 Millions d’Euros.
Vous en êtes où avec le RGPD ?
Avec cette nouvelle affaire, touchant cette fois une PME, c’est un exemple concret qui nous incite encore une fois à vous alerter sur le respect obligatoire d’un certain nombre de points.
Nous pouvons vous accompagner sur la mise en œuvre de ces procédure, contactez- nous : 03 26 47 09 34 ou en cliquant ici