Voilà déjà plus d’un an que le RGPD, règlement général pour la protection des données, est entrée en vigueur. Des sanctions ont déjà été prises. Et ce ne sont pas toujours de grosses entreprises qui sont visées. La preuve avec cette nouvelle délibération de la Cnil rendue publique le 6 juin 2019

Si des petites entreprises comptaient sur la clémence des institutions, il faut qu’elles révisent rapidement leur jugement. Car à la lecteur de celui que vient de rendre la Cnil, il semble bien que ce temps soit désormais révolu.

Une ETI sanctionnée

En effet, l’entreprise Sergic, spécialisée dans la promotion immobilière, emploie 486 employés et réalise un chiffre d’affaire de 43 millions d’euros (chiffre 2017). C’est donc un ETI, une entreprise de taille intermédiaire. Elle a été condamnée à une sanction de 400 000 €.

Des dommages à l’image

A la condamnation, il faut ajouter la mauvaise publicité que celle-ci ne manquera pas de provoquer.

Une protection insuffisante

La Cnil reproche à l’entreprise de n’avoir pas suffisamment protégé les données des utilisateurs de son site web. Ont également été pointé du doigt par la commission, des modalités de conservation des données inappropriées.

La plainte d’un utilisateur

Le jugement trouve son origine dans la plainte d’un utilisateur déposé en août 2018, seulement quatre mois après la mise en application du RGPD, le réglementent général pour la protection des données.

Des documents confidentiels librement accessibles

Depuis son espace personnel, l’utilisateur avait pu accéder aux données d’autres utilisateurs simplement en modifiant l’URL.

Autrement dit, les documents privés et personnels, comme des avis d’imposition, copie d’attestation de cartes vitales, carte d’identité, etc. étaient librement accessibles, sans authentification préalable.

Une faille connue de longue date

Avertie en septembre puis contrôlée quelques jours plus tard par la Cnil, l’entreprise s’était trouvée dans une situation très délicate : les agents ont ainsi découvert sur place que cette faille était connue de l’entreprise… au moins depuis le mois de mars 2018.

Des correctifs en cours

Certes, la société avait commencé des développements pour corriger les failles. Mais ces développements n’étaient réellement entrés en vigueur que 10 jours après le premier contrôle en ligne de la Commission. Un délai jugé trop long. La faille trainait finalement depuis plus de 6 mois…

Une conservation sans limite de durée

Prévue par l’article 32 du RGPD, la sanction a été à la hauteur des manquements. De surcroit, la Cnil a pu constater à cette occasion que les données étaient stockées sans limitation de durée. Et donc au-delà de la durée nécessaire à l’attribution de logements.

Des décrets toujours publiés

A noter, enfin que le règlement continue à produire de la matière juridique, un an après son adoption. Ainsi le 29 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été adopté.

Le responsable de sécurité, directement concerné

En février 2018, nous avions réalisé un dossier complet sur le RGPD où nous expliquions les impacts pour le responsable de la sécurité. La vidéosurveillance, le contrôle des accès, pour ne citer que deux sujets, sont directement concernés par le règlement européen.