Eléonore Scaramozzino, Avocat
Délibération de la formation restreinte n° SAN – 2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société SERGIC
La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion, pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées. Elle est éditeur d’un site web www.sergic.com, qui permet aux candidats à la location de constituer leurs dossiers en ligne, via un espace personnel dans lequel ils peuvent stocker les pièces de leurs dossiers (copies de cartes d’identité, cartes vitale, avis d’imposition…).
Manquement à l’obligation de sécurité
Après un contrôle en ligne, la Présidente de la Cnil, qui dispose de l’opportunité des poursuites, n’a pas procédé à une mise en demeure la société SERGIC, mais a saisi directement la formation restreinte, qui l’a sanctionné pour ne pas avoir pris des mesures techniques et organisationnelles appropriées, imposées par l’article 32 du RGPD pour garantir la sécurité de l’accès aux documents, qui pouvaient être librement téléchargés par des tiers, en l’absence d’authentification préalable. Ce manquement à son obligation de sécurité était aggravé par la nature des données et par le manque de diligence dans l’adoption de mesures correctives.
Non-respect des durées de conservation : base active et base intermédiaire
Par ailleurs, la Cnil a constaté l’absence de définition de durée de conservation (art 5-1,e)) en base active des pièces téléchargées sur l’espace personnel. Or les données communiquées pour la constitution d’un dossier de candidature de location ont pour finalité l’examen du profil du locataire par rapport à une offre spécifique. Au-delà de la réalisation de cette finalité, les données doivent être conservées dans une base de données distinctes, base intermédiaire, pour une finalité probatoire ou pour le respect d’obligations légales. Cet archivage intermédiaire est également limité dans le temps à ce qui est strictement nécessaire.
La formation restreinte a prononcé une amende de 400 000 euros, ainsi qu’une sanction complémentaire de publicité sur le site de la CNIL et sur le site de Légifrance. La délibération de la Cnil sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.
La formation restreinte a rappelé que l’article 85§3 du RGPD, prévoit qu’en cas de violations multiples, le montant total de l’amende ne peut excéder le montant fixé pour la violation la plus grave. En l’espèce, dans la mesure où il est reproché à la société un manquement à l’article 5 du Règlement, lequel peut faire l’objet d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, c’est ce montant maximum qu’il convient de prendre en considération.
Délibération de la formation restreinte n° SAN – 2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société SERGIC