Accueil / Données personnelles / RGPD, 400 000 euros d’amende pour un syndic de copropriété

RGPD, 400 000 euros d’amende pour un syndic de copropriété

 

La CNIL (Commission nationale de l’informatique et des libertés) a sanctionné un gestionnaire immobilier, coupable de na pas avoir (suffisamment) sécurisé les données personnelles de ses clients, au regard du RGPD, le Règlement général européen sur la protection des données personnelles. 

 

Après la bienveillance et la pédagogie, voici venu le temps des sanctions.

Et en ce début du mois de juin, la CNIL a décidé de frapper fort en infligeant une amende de 400 000 euros à Sergic, une société spécialisée dans l’immobilier.

CNIL-Sergic-RGPD-MOOC

Prévenue par un lanceur d’alerte en août 2018 (soit trois mois après l’entrée en vigueur officielle du RGPD (le Règlement général européen sur la protection des données personnelles), la CNIL a constaté lors d’un contrôle (mis en ligne le 7 septembre 2018), que la société Sergic ne protégeait pas suffisamment les les données personnelles de ses clients et de ses anciens clients.

Cette société, dont le siège se trouve à Wasquehal (Nord), a des activité de gestionnaire d’immobilier, de syndic de copropriété, de locations de vacances et d’immobilier d’entreprise.

Cartes Vitale et attestations de CAF

Sergic laissait en accès, presque libre (car il suffisait pour y accéder de modifier simplement l’URL, c’est-à-dire l’adresse à consulter, inscrite dans un navigateur internet) des données de clients telles que des copies de cartes d’identité, de cartes Vitale, des jugements de divorce ou bien encore des attestations de la CAF.

Pour Sergic, s’il y a bien eu un « incident de sécurité », celui-ci n’a en revanche donné lieu à « aucune utilisation malveillante des données » concernées.

Cependant la CNIL a pu établir que la société avait connaissance de cette faille de sécurité depuis mars 2018 et ne l’avait corrigée que le 17 septembre 2018.

De plus, Sergic conservait les données de certains de ses clients « sans limitation de durée », alors même qu’elle était censée, selon les cas, soit les effacer, soit les placer dans un archivage intermédiaire si leur conservation devait s’avérer nécessaire, par exemple pour des raisons légales.

Selon la CNIL, dont la décision est consultable ici, la société Sergic a donc « manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD.

A noter que, pour s’initier au RGPD et éviter ainsi tout dérapage (notamment financier car les amendes liées au non-respect du RGPD peuvent aller jusqu’à 4% du chiffre d’affaires des contrevenants), la CNIL a mis en ligne un MOOC, accessible ici jusqu’au mois de septembre 2021.

En suivant l’intégralité de ce MOOC, les participants pourront en outre obtenir
une attestation délivrée par la CNIL.

[wpedon id= »26112″] Vous avez aimé cette information? Partagez-là avec vos amis, votre réseau ou votre communauté. Cet article vous a été utile? Il vous a rendu service? NewZilla.NET a besoin de VOUS. Vous pouvez nous aider en faisant un don sécurisé à partir de 1 euro. Cela mérite une explication. On vous dit tout ICI. Merci pour votre soutien et pour votre fidélité à NewZilla.NET.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.