Amende administrative de la Cnil pour défaut de sécurité de données personnelles en ligne

Nous avons mentionné la confirmation par le Conseil d'État d'une sanction de la Cnil pour le même type de manquement (notre actualité du 4 juin). Voici une nouvelle décision de la Cnil, cette fois-ci en application du RGPD puisque les faits ont été révélés depuis l'entrée en application de celui-ci. C'est donc une des premières fois que la notion d'amende administrative, prévue à l'article 83 du Règlement est appliquée. Rappelons que c'est cette fameuse amende qui peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'entreprise sanctionnée.

Les faits en bref

Il s'agissait d'une société de gestion immobilière qui offrait aux postulants à la location d'un logement de déposer les pièces justificatives nécessaires à leur candidature en ligne.

Selon l'annonce du 6 juin sur son site : "En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que  le 17 septembre 2018 que la correction totale est devenue effective.
"

Les manquements constatés

La formation restreinte de la Cnil a constaté deux types de manquements :

  • Manquement à l'obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD ;
  • Conservation des données sans limitation de durée, contrairement aux obligations imposées par le RGPD qui exige une durée proportionnelle à la finalité des traitements.

La double sanction

Le 28 mai 2019, la formation restreinte a donc prononcé la double sanction désormais classique :

  • 400 000 € d'amende ;
  • Publication nominative de la sanction sur le site de la Cnil.

Nous renvoyons au communiqué du 6 juin sur le site de la Cnil pour de plus amples précisions et à la délibération du 28 mai elle-même, sur Légifrance.

Voir toutes nos actualités sur les Données à caractère personnel.

Didier FROCHOT