La CNIL prononce une sanction de 400 000 € contre une société de gestion immobilière

sergic-cnil-rgpd.jpg

Jeudi 6 juin 2019, la CNIL a rendu publique une décision rendue contre la société Sergic, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière.

Manquement de sécurité et durées de conservation non définies

L’amende prononcée, d’un montant de 400 000 euros, vient sanctionner une faille de sécurité sur l’espace clients du site Internet de la société (article 32 du RGPD) ainsi que la conservation sans limitation de durée des documents de candidats non retenus pour des locations.

À propos de la sécurité des données, les précisions apportées par l’autorité de contrôle rappellent l’actualité récente outre-Atlantique :

La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir.

La CNIL fait (encore) preuve de pédagogie

Quant à la durée de conservation, la CNIL a tenu à rappeler l’essentiel :

[L]a durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses.

La décision, rendue en tenant compte de “la taille de la société et sa surface financière”, est disponible en intégralité sur Legifrance.

(Source : CNIL)