RGPD : le syndic SERGIC sanctionné

rgpd---que-risquent-vraiment-les-agences-immobilieres---190624bbr66x

La CNIL (Commission Nationale de l’Informatique et des Libertés) a prononcé une sanction de 400 000 euros à l’encontre du syndic SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et conservé des données inappropriées.

L’article 32 du RGPD enfreint

Rappel des faits

Pour rappel du contexte, le RGPD entré en vigueur le 24 mai 2018 fixe les droits des internautes à propos de l’utilisation de leurs données personnelles. SERGIC quant à lui est une société immobilière qui a des activités de gestionnaire d’immobilier, de syndic de co-propriété, de location de vacances, ou d’immobilier d’entreprise.

Le syndic SERGIC n’aurait alors pas respecté l’article 32 du  RGPD concernant la protection des données. Par la suite, il a donc été lourdement sanctionnée par le régulateur prévu à cet effet à savoir la CNIL : Commission Nationale de l’Informatique et des Libertés.

Une négligence passée vis-à-vis de la sécurité des données

En août 2018, la CNIL a été précédemment prévenue par un utilisateur du site internet de SERGIC qu’il avait pu accéder à des données appartenant à d’autres utilisateurs, elle a déclaré ces informations dans un communiqué. Il suffisait pour ce faire de « modifier légèrement l’URL affichée dans le navigateur », selon la CNIL.

Une conservation des données personnelles constatée

Le groupe SERGIC collecte des données très personnelles comme des copies de cartes d’identité, de cartes vitales, d’avis d’imposition, de relevés de comptes, de relevés d’identité bancaire voire même des jugements de divorce ou des attestations de caisses d’allocations familiales. Ces données, jugées pourtant très sensibles étaient donc accessibles « sans authentification préalable ».

Des faits d’une gravité extrême sanctionnés par la CNIL

Une double peine infligée

Le RGPD, règlement européen sur la protection des données permet aux régulateurs nationaux comme la CNIL d’infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros. De plus, des sanctions pénales peuvent également s’ajouter s’échelonnant jusqu’à 300 000 euros et 5 ans d’emprisonnement.

Dans le cas de l’affaire SERGIC : on parle d’ une amende estimée à 400 000 euros.

Des lourdes sanctions infligées précédemment aux entreprises

Si des obligations aux entreprises sont fixées pour assurer le respect des données personnelles des utilisateurs, cependant elles ne sont pas toujours respectées.

En effet, deux semaines après l’entrée en vigueur du RGPD, la CNIL a prononcé une amende de 250 000 euros à l’encontre de la société Optical Center. Puis, le 19 décembre 2018, la CNIL inflige une sanction de 400 000 euros à la société Uber. Enfin, le 26 décembre dernier, la CNIL a prononcé une sanction pécuniaire de 250 000 euros, à l’encontre de la société Bouygues Telecom.

En janvier 2018, c’est le géant de la recherche : Google qui a battu les records en termes de pénalités pour avoir enfreint le traitement de ces données. En effet, il a reçu une amende de 50 millions d’euros par la CNIL pour avoir porté atteinte au RGPD, des informations essentielles auraient été ainsi disséminées.