CNIL : 400.000€ d'amende pour une agence immobilière

Comme nous vous l’avions dit dans un précédent article, l’année 2019 signe la fin de la clémence de la CNIL quant aux manquements de certains vis-à-vis du RGPD.

Jusqu’à lors, les sanctions importantes que la Commission annonçait avaient toutes pour destinataires de grands noms : Google et son amende record de 50 millions d’euros, 250.000€ pour Bouygues Telecom, 250.000€ pour Optical Center, ou encore 400.000€ pour Uber pour ne citer qu’eux…

Cependant, ce Jeudi 6 Juin la CNIL a laissé de côté ces géants représentant moins d’1% des entreprises en France pour s’attaquer au « commun des mortels ». En effet, cette fois-ci il ne s’agit pas d’une enseigne à renommée mondiale, mais simplement d’une agence immobilière du nom de Sergic Immo, comptant 40 agences à son actif sur le territoire national.

Tout part d’une plainte d’un utilisateur du site de l’agence envoyée à la CNIL en août 2018. Ce dernier indiquait que par le simple biais de légères modifications de l’URL, il parvenait à obtenir de nombreux documents fournis par d’autres utilisateurs et ce, sans qu’il n’ait besoin de s’authentifier au préalable.

Parmi ces documents, l’utilisateur en question pouvait retrouver des copies de cartes d’identité, de cartes vitales, d’avis d’imposition, de relevés de comptes ou encore de RIB…

Très vite, la Commission a effectué un contrôle en ligne – le 7 septembre 2018 – qui leur a permis de constater par eux-mêmes que les documents des utilisateurs, censés être confidentiels, étaient malheureusement bel et bien librement accessibles. Ce même jour la CNIL a donc alerté Sergic Immo. Par la suite, les représentants de la Commission se sont rendus sur place afin de procéder à un contrôle plus approfondi. Dès lors, ils ont remarqué que ce problème de sécurité était en réalité connu de l’agence depuis plusieurs mois (depuis mars 2018 exactement), et que rien depuis cette date n’avait réellement était fait pour y remédier.

Quelle est la conclusion de cette affaire ?

Pour récapituler les faits retenus à l’encontre de Sergic Immo, la CNIL a donc relevé deux points essentiels :

  • Manquement à l’obligation de préserver la sécurité des données personnelles des utilisateurs de son site : Sergic Immo n’avait pas mis en place un système d’authentification pour assurer que les personnes ayant accès aux documents étaient bien celles qui les avaient déposés. Erreur aggravée par le fait que l’agence n’a rien mis en place pour contrer cette faille avant 6 mois

  • Conservation des données personnelles sur une durée bien trop longue : normalement, la conservation des données personnelles se fait en fonction de la finalité du traitement. Ici, les données recueillies (celles précédemment citées, nécessaires à l’attribution d’un logement) des clients n’ayant in fine pas accédé à un logement étaient gardées sans limite de temps, ce qui n’est bien évidemment pas légal.

La sanction prononcée par la CNIL envers Sergic Immo pour ses manquements s’élève donc à 400.000€, la même somme que le géant Uber et pourtant, nous sommes bien loin d'être sur des entreprises de même envergure.

Cette grosse sanction retentit comme une sonnette d’alarme pour toutes les entreprises de moindres envergures, montrant ainsi que les géants mondiaux ne sont pas les seuls à pouvoir être la cible d’amendes importantes.

Tester gratuitement la solution axeptio

Goûtez aux cookies d'Axeptio

cookie-pacs

Le RGPD impose un consentement préalable avant d’installer vos cookies.

Pour les réconcilier avec vos utilisateurs, Axeptio vous propose son approche innovante et ludique pour les présenter de la meilleure façon possible. 

Nos ingrédients ?

  • La transparence
  • Le contrôle
  • La temporisation
  • Le fun

Tester gratuitement la solution axeptio