La CNIL confirme son pouvoir de sanction sans mise en demeure : condamnation de SERGIC à 400 000 euros pour violation grave de l’obligation de sécurité
Fin Avril, le Conseil d’État confirmait la capacité de la CNIL à sanctionner les violations des règles de sécurité des données personnelles sans forcément recourir à une préalable mise en demeure destinée à laisser la possibilité au contrevenant de corriger son comportement (note : voir notre news sur l’affaire OPTICAL CENTER).
Dans sa délibération du 28 mai 2019, l’autorité de contrôle confirme sa volonté d’exercer ce pouvoir.
L’entreprise ciblée est la société SERGIC, spécialisée dans le secteur immobilier qui avait fait l’objet d’une plainte par un utilisateur, étonné que la simple modification d’un nombre dans l’adresse URL du site web de la société lui permette d’accéder aux dossiers et pièces justificatives de candidats à la location.
Un contrôle en septembre 2018 met en lumière un manquement flagrant à la sécurité des données sur le plan du volume des données concernées et de la durée de la violation. Il est en effet question du téléchargement de plus de 9000 documents incluant « des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers ».
En outre malgré un signalement antérieur, le défaut de protection des données a persisté pendant une durée de plus de 6 mois avant que des mesures y mettent un terme.
Enfin la violation est aggravée par le fait que, de l’aveu de la société, les données des candidats à la location ne sont pas effacées une fois leur dossier classé et la candidature acceptée ou refusée.
Dans sa délibération du 28 mai, la CNIL constate donc un manquement à l’article 32(1) du RGPD, concernant les mesures raisonnables de protection des données. Elle insiste sur la durée du manquement, sur le grand nombre et l’aspect sensible et intime des données laissées sans protection.
En outre, la CNIL constate une violation des dispositions de l’article 5-1-e) du règlement relatif à la proportionnalité des délais de conservation des données ; pour l’autorité de contrôle, la société incriminée a aggravé son cas en conservant bien au-delà de la finalité originale les données relatives aux candidats n’ayant pas accédé à la location, qui auraient dû être supprimées dès la clôture de leur dossier.
Au vu de la gravité de ces manquements et du manque de diligence de la société dans leur gestion, la CNIL condamne cette dernière au paiement d’une amende de 400 000 euros, et à la publication de ladite sanction, sans mise en demeure préalable, et donc sans permettre à SERGIC de corriger les errements avant de décider de la sanction.
A ce sujet, la CNIL rappelle dans sa délibération qu’une mise en demeure n’est aucunement rendue obligatoire par les dispositions de la loi informatique et libertés de 1978 qui régit son action. Cette décision est ainsi à placer dans la continuité de l’affaire OPTICAL CENTER.
Le message de la CNIL est clair : pas de rattrapage pour les violations graves, la vigilance des responsables de traitement s’impose au plus fort.
