Par délibération 2019-0105 du 28 mai 2019, la formation restreinte de la CNIL prononce une sanction pécuniaire de 400.000 euros à l’encontre d’une société spécialisée dans la promotion, l’achat, la vente, la location et la gestion immobilière à raison du défaut de sécurité informatique de son site internet.

A l’aube de la deuxième année d’application du RGPD, la formation restreinte de la CNIL prononce une sanction administrative conséquente à l’encontre d’un acteur du secteur privé.

Les manquements, d’une part à l’obligation d’assurer la sécurité et la confidentialité des données, d’autre part à celle d’assurer une durée de conservation adaptée à la finalité de leur collecte, ont été retenus à l’encontre du responsable de traitement.

En août 2018, la CNIL a été saisie d’une plainte par un utilisateur du site internet de la société immobilière concernée lui indiquant qu’une modification de l’adresse URL du site lui avait permis de télécharger, non seulement les pièces justificatives de son dossier de demande de location, mais aussi celles d’autres candidats.

Au cours de ses investigations, dans un premier temps réalisées en ligne, l’autorité de contrôle a constaté l’effectivité du défaut de sécurité dont la société avait été informée dès le mois de mars, et procédé au téléchargement de près de 10.000 documents particulièrement confidentiels, parmi lesquels des cartes vitales, d’identité, des avis d’imposition, des jugements de divorce, ou encore des références bancaires. Ces documents étaient toujours accessibles six mois après le signalement de l’incident, comme la CNIL l’a constaté lors d’un contrôle sur place en septembre 2018. 290.870 fichiers portant sur 29.440 personnes étaient concernés.

Dans sa délibération, la formation restreinte relève l’absence de mise en place d’une procédure d’authentification des utilisateurs du site, manquement d’autant plus grave qu’il permet l’accès non-autorisé à une « grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes ». Elle reproche à la société, informée de l’incident, de ne pas avoir adopté les mesures d’urgences requises pour réduire l’ampleur de la violation et privilégié « la stabilité de son système d’information durant cette période à la correction de la vulnérabilité des données personnelles qu’il comportait ». Par ailleurs, le caractère excessif de la durée de conservation a été retenu, s’ agissant d’informations qui, bien que pertinentes pour l’attribution des logements, n’étaient plus justifiées, notamment pour les candidats n’ayant pas accédé à la location.

La protection des données à caractère personnel, dans la nouvelle règlementation, implique une gouvernance spécifique et un suivi dans la durée permettant de garantir un niveau de conformité constant. Les obligations qui pèsent sur le responsable de traitement traduisent cette exigence, parmi lesquelles celles de notifier à la CNIL, dans les 72 heures de sa découverte, toute violation de données à caractère personnel « susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » et d’intervenir de manière appropriée pour y remédier. Ce devoir de réaction rapide, non respecté par la société mise en cause, tend à limiter les risques liés à l’incident pour les personnes concernées. En l’espèce, la CNIL a relevé le manque de « diligence dans la correction de la vulnérabilité ».

Dans sa décision portant sanction sans mise en demeure préalable, la CNIL utilise à nouveau la possibilité qui lui est conférée par les nouvelles dispositions de l’article 45 de la loi « Informatique et Libertés ». Par le montant de la sanction infligée et sa publicité, elle tient à marquer les esprits quant à l’obligation faite aux responsables de traitements ayant identifié une faille ou un incident de sécurité, d’y remédier dans les meilleurs délais. Au-delà de la nécessaire notification à bref délai à la CNIL, voire, le cas échéant aux personnes concernées, des mesures correctives doivent être immédiatement envisagées.

La mise en place en amont d’une procédure de data breach permet de faire face avec réactivité à la crise provoquée inéluctablement en interne lors du constat d’un tel incident de sécurité.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance et Mathieu Vincens, juriste