PROFESSIONNELS DE L’IMMOBILIER : CONDAMNATION PAR LA CNIL D’UN DEFAUT DE SECURITE DES DONNEES PERSONNELLES SUR UN SITE INTERNET

La CNIL a prononcé le 28 mai dernier une sanction pécuniaire à l’encontre de la société SERGIC (société exerçant les activités de Transaction, Syndic de Copropriété, Administrateur de biens) d’un montant de 400 000 euros. Sanction particulièrement importante et motivée par un défaut de sécurité des données personnelles.

En effet, cette société édite un site web permettant aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution d’un dossier. Or, la CNIL a été saisie par un candidat qui avait remarqué que lorsqu’il téléchargeait ses pièces sur le site  www.sergic.com , il pouvait aussi avoir accès aux pièces d’autres candidats. Suite à cette plainte, la CNIL a mené des contrôles qui ont confirmé le défaut de sécurité du site et la possibilité pour des tiers non autorisés d’y accéder.

Dans sa délibération, la CNIL a rappelé les dispositions de l’article 32 du RGPD portant sur la sécurité des données et les obligations incombant aux responsables de traitement. A ce titre, elle a noté la conception défectueuse du site liée à l’absence de mise en place d’une authentification des utilisateurs ainsi que l’absence de mesures prises par la société SERGIC pour y remédier.

Par ailleurs, la CNIL s’est également appuyée sur les éléments suivants pour condamner la société SERGIC :

  • La possibilité d’exploiter la vulnérabilité du site sans compétence particulière ;
  • Le nombre important de personnes exposées ;
  • La nature des données personnelles rendues accessibles (actes de mariage, contrats de travail, imposition…) et l’absence de mesures de sécurité appropriées pour en assurer la confidentialité et ;
  • Les délais dans la prise en compte de la vulnérabilité du site et des mesures de correction.

Enfin, la CNIL a relevé les manquements de la société SERGIC à l’obligation de conservation des données et notamment le fait d’avoir conservé en base active les données des candidats n’ayant pas accédé à la location. Il était ainsi noté l’absence de formalisation d’une politique de conservation des données et de solution d’archivage des documents.

Quels enseignements retirer de cette délibération de la CNIL ?

1/ Une attention significative à porter à la sécurité des données personnelles et notamment lors de la mise en place d’un site internet ou de nouveaux traitements.

Si le RGPD ne fixe pas de normes ni de règles précises, ce règlement impose aux responsables de traitement de mettre en place des garanties appropriées en fonction de la sensibilité des données et des traitements effectués. Sous réserve de s’exposer à des sanctions significatives.

2/ La protection des données personnelles suppose la mise en œuvre de mesures relatives à la durée de conservation des données. Les traitements de données quels qu’ils soient (collecte, conservation, structuration de données etc…) doivent être encadrés dans le temps. Et des procédures d’archivage ou de purge doivent être systématiquement mises en place.

3/ La protection des données personnelles doit constituer un point d’attention privilégié de l’activité des professionnels de l’immobilier, afin de sécuriser l’ensemble des traitements qu’ils effectuent. Et pour protéger leur réputation à long terme.

Cliquez ici pour en savoir plus sur nos prestations en matière de données personnelles à destination des agents immobiliers.

AUMANS AVOCATS : notre expertise à votre service

Le droit des données personnelles pose de nombreuses questions juridiques nécessitant le recours à un avocat.

Cabinet d’avocats spécialisé en droit de la vente (intermédiaires de commerce, vente directe, en ligne…) et droit des agents immobiliers, AUMANS AVOCATS conseille et assiste ses clients afin de leur permettre de se conformer au droit des données personnelles tout au long du processus de vente de leurs produits et services.

AUMANS AVOCATS, PARIS / BRUXELLES / MARSEILLE

Lire également sur le même sujet :

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36