Plutôt que de payer des consultants pour réaliser la conformité avec le règlement général sur la protection des données (RGPD) de leur organisation, les responsables de traitement auraient intérêt à prendre connaissance des délibérations de la Commission nationale de l'informatique et des libertés (Cnil). Retour sur la délibération du 6 juin 2019 concernant la société Sergic. Explications.

Exposé des faits

Sergic est une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Sergic s'est vu infliger une sanction de 400 000 € pour "avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées". Que s'est-il passé ?

A l'origine la plainte d'un utilisateur « indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur ».

A ce stade deux informations importantes nous sont livrées :

  1. la Cnil intervient, notamment, sur plainte et celles-ci se sont multipliées à la mesure de la prise de conscience de l'importance de la protection des données à caractère personnel et de la médiatisation qui a accompagné la mise en œuvre du RGPD. Aucune organisation, quelle que soit sa taille, ne peut se targuer d'être « sous les radars » de la Cnil.
  2. les failles de sécurité sont le plus souvent élémentaires et internes à l'organisation. Ce sont des failles logiques liées, par exemple, comme dans ce cas, à la programmation, ou des failles organisationnelles liées aussi à l'information des salariés et aux procédures en place dans l'organisation. Les deux étant le plus souvent concomitantes. Ici nous sommes en présence d'une faille qui consiste à faire passer dans l'URL des informations relatives à l'utilisateur. Une légère modification de l'URL donne alors accès aux informations des autres utilisateurs du site.

Ensuite, un manque de diligence : la plainte date d'août 2018. Un contrôle en ligne de la Cnil, en date du 7 septembre 2018, confirme l'existence de la faille. Sergic est alors alertée par la Cnil. Quelques jours après un contrôle sur place de la Cnil est organisé. Il révèle que Sergic avait connaissance de cette faille depuis le mois de mars 2018. Ce n'est que le 17 septembre 2018 que Sergic applique un correctif. La délibération de la Cnil pointe donc que « la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente ».

Enfin, des éléments aggravants : le contrôle révèle chez Sergic l'absence de politique de conservation et d'archivage. La délibération indique que « la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements ». Ce manquement est, selon la Cnil, et à bon droit, aggravé par la nature particulièrement critique des données collectées. La Cnil a constaté que « parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire ». Certaines de ces données sont « hautement personnelles » au sens du RGPD (ex. avis d'imposition, données bancaires, jugements de divorce, attestations CAF, relevés de compte). D'autres (ex. carte Vitale), révélant le numéro d'inscription au registre (NIR), sont des données dont la collecte est interdite, sauf exception. Même si sa publication est postérieure aux faits, un décret du 19 avril 2019[1] encadre très strictement l'usage du NIR. Une société comme Sergic ne semble évidemment pas légitime à collecter le NIR.

La Cnil conclut donc que « la société Sergic a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD ». Ce manquement est aggravé « d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente ».

La Cnil, à l'occasion de son contrôle, a été amenée à constater en outre l'absence de politique de conservation. La Cnil précise que « par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (ex. la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire ».

Quels enseignements tirer de cette délibération ?

Dans sa démarche vers la convergence avec le RGPD, le responsable de traitement doit prendre en compte deux axes prioritaires : la sécurité des données et la conservation et l'archivage de celles-ci.

Le responsable de traitement doit ensuite être vigilant. A bon droit, la Cnil pointe le délai de six mois entre la connaissance d'une faille de sécurité et sa correction. Ensuite, en application du principe d'accountability - principe fondateur du RGPD - le responsable de traitement doit dire ce qu'il fait, être transparent, mais aussi faire ce qu'il dit, dans le cadre de son obligation de moyens. De ce point de vue, il est étonnant de constater que Sergic a publié le 28 février 2018 une page de politique relative aux données à caractère personnel des clients (source web archive), alors même qu’elle laissait béante une énorme faille de sécurité.

Nexem vous accompagnement dans votre démarche de conformité avec le RGPD

En substance, conduisez une veille sur le RGPD dans votre organisation et Nexem est là pour vous aider. Mettez en œuvre des mesures simples et de bon sens en matière de sécurité et d’archivage, Nexem peut vous accompagner dans cette démarche. Vous gagnerez en efficacité en déterminant de façon plus précise les angles d’attaque de votre démarche de conformité.


[1] Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire.