Après avoir infligé une amende de 50 millions d’euros à Google, un an après l’entrée en vigueur de la réglementation RGPD, la CNIL sanctionne également les plus petites entreprises dont la société Sergic.
Découvrez notre article RGPD dédié à la protection des données ici.
Sergic dont le siège est situé dans le nord de la France à Wasquehal est une société spécialisée dans l’activité de gestion et de promotion immobilière.
Pour quelles raisons cette société s’est-elle vu infliger une amende d’un montant de 400 000 euros ?
Comment la CNIL s’est-elle rendue compte d’un non-respect à la réglementation RGPD ?
« Des documents librement accessibles sans authentification au préalable. »
Tout commence au mois d’août 2018, lorsqu’un internaute se rend compte qu’il a accès depuis son espace personnel à toutes les pièces justificatives des clients de l’agence permettant la constitution de dossier de location (des bulletins de salaire, cartes d’identité, cartes vitales, avis d’imposition …).
Selon la CNIL :
« Il suffisait de modifier légèrement l’adresse URL du site. »
Cet internaute porte plainte directement en estimant que la société ne respectait pas les clauses de la RGPD. Il y avait donc une violation des données personnelles.
Quelques jours plus tard, un contrôle mené par la CNIL est effectué dans les locaux de la société.
Lors de cette investigation, la CNIL constate que la société Sergic avait pris connaissance de cette faille en mars 2018 et ce n’est qu’en septembre 2018 que le problème a été corrigé, soit 6 mois plus tard !
Lors de son enquête, la Cnil soulève par conséquent 2 manquements au Règlement général RGPD :
- « un manquement à son obligation de préserver la sécurité de données personnelles des utilisateurs de son site ». Article 32 du RGPD. Les internautes avaient accès aux données clients sans authentification au préalable.
- 2ème manquement : la durée de conservation n’était pas respectée, la société sergic conservait les données sans limitation de durée !
La CNIL sanctionne donc Sergic pour atteinte à la sécurité des données et non-respect des durées de conservation à une amende de 400 000 euros.
Avant de déterminer cette sanction, la CNIL indique avoir pris en compte la taille de la société ainsi que sa surface financière. Découvrez plus d’informations sur le site de la CNIL.
Pas de commentaire