Sergic écope d’une lourde sanction pour manquement à la sécurité des données

Spécialisée dans la promotion et la gestion immobilière, le groupe Sergic, dont le siège social est basé à Wasquehal dans la métropole lilloise vient d’écoper dune amende de 400 000 € pour non respect aux consignes du RGPD (Règlement Général sur la Protection des Données). Les faits remontent au mois d’août 2018. Un utilisateur du site de Sergic dépose alors une plainte auprès de la CNIL (Commission Nationale Informatique et Libertés), dans laquelle il affirme pouvoir accéder à des documents personnels appartenant à d’autres utilisateurs, en procédant à une simple modification d’URL à partir de son espace personnel. Ces derniers, en général des candidats à la location, téléchargeaient leurs pièces justificatives en ligne sur la plateforme. On peut ainsi y trouver des cartes d’identité, des cartes vitales, des relevés d’identité bancaire, des relevés de compte ou encore des avis d’imposition, des jugements de divorce ou des attestations délivrées par la Caisse d’allocations familiales. Le 7 septembre 2018, la CNIL a engagé un contrôle en ligne qui a confirmé ces constatations et en a immédiatement informé l’entreprise concernée. Suite à un contrôle sur place effectué quelques jours plus tard, l’organisme s’est rendu compte que Sergic était au courant de cette faille depuis mars 2018 mais que la correction totale n’a été établie que le 17 septembre 2018. D’autre part, le gestionnaire immobilier ne respectait pas les délais de conservation préconisés par le RGPD. Les données devaient être supprimées ou placées en archivage intermédiaire une fois les logements attribués, ce qui n’était pas le cas chez Sergic. Jugeant graves l’ensemble de ces manquements, la Formation restreinte de la CNIL a décidé d’infliger une sanction record à Sergic.