La Commission Nationale de l’Informatique et des Libertés (CNIL) veille à ce que l’informatique respecte les droits de la vie privée du citoyen. Elle est l’autorité française régulatrice de la gestion des données personnelles. En mai 2019, cette commission a prononcé une sanction pécuniaire à l’encontre d’une société spécialisée dans l’immobilier.
Des données personnelles non sécurisées
La société n’avait pas corrigé la vulnérabilité
« La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. »
Sanctionnée pour ne pas avoir suffisamment protégé les données des utilisateurs
« En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. »
Décryptage de notre expert
Cette décision de la CNIL n’est pas définitive, la société en question a, en effet jusqu’au 28 juillet prochain, pour faire un recours devant le Conseil d’Etat. Il se peut donc qu’il y ait une suite pour cette procédure. Il nous faut cependant retenir deux points essentiels dans cette décision :
- La technique utilisée par la société, pour gérer les données personnelles de ses clients était totalement contraire aux bonnes pratiques communément admises aujourd’hui. En clair, c’était un jeu d’enfant de pirater les données de cette société.
- La défense utilisée par cette société semble avoir présentée des arguments incompatibles avec le RGPD et donc être irrecevables par la cours.
De cette décision, nous pouvons retenir qu’il n’est nul besoin d’avoir une fuite de données pour qu’une société soit condamnée par la CNIL. Au contraire, une simple méthode de divulgation de données personnelles par un internaute et la société devient condamnable. Il ne faut pas oublier aussi que de ne pas mettre en œuvre dans un bref délai des mesures efficaces et pertinentes, suite à un incident sur des données personnelles, peut l’être également. Face aux risques, il est donc important, voire vital, que toutes les entreprises réalisent une mise en conformité à ce règlement. Cependant, au vu de la complexité de celui-ci, il est plus qu’utile de se faire accompagner. Cet exemple d’entreprise spécialisée dans l’immobilier démontre réellement que la gestion des données personnelles nécessite maîtrise de la technique et du juridique.
Vous souhaitez être aidé par un spécialiste de la protection des données ? Depuis 2017, notre partenaire MB2I sous la direction de son senior consultant, Jean-Louis Pascon, a accompagné la mise en conformité au RGPD de plus de 30 entreprises et a développé des outils pour cette mise en conformité.
Consultant en dématérialisation depuis 35 ans
Membre de l’AFNOR, de l’ISO, de l’AIIM et de l’ETSI
DPO Partagé
En savoir plus sur la plateforme GED Open Bee