Società francese multata per 400.000 euro per mancanza di sicurezza dei dati e per non aver rispettato i termini di conservazione

Il CNIL, l’Autorità per la privacy francese, con delibera del 29 maggio 2019, ha multato per 400.000 euro la società Sergic che gestisce un sito web di servizi immobiliari. L’azienda non avrebbe protetto in modo adeguato i dati degli utenti e avrebbe conservato in modo inappropriato dati personali senza procedere alla cancellazione.

La société SERGIC (ci-après la société ) est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Elle emploie 486 personnes et a réalisé en 2017 un chiffre d’affaires d’environ 43 millions d’euros.

La società francese Sergic gestisce il sito web sergic.com in cui gli utenti possono creare un profilo personale per richiedere alloggi in affitto e caricare i documenti necessari alla conclusione del contratto di locazione.

Nell’agosto del 2018, un cliente sporge denuncia al CNIL, in quanto era riuscito ad avere accesso ai documenti di altri clienti, modificando leggermente l’URL dalla sua area personale sul sito.

Il CNIL a settembre procede con una verifica on line, attestando che i documenti degli utenti erano liberamente accessibili senza previa autenticazione. Si potevano vedere documenti come: carta d’identità, dati bancari, assegni familiari.

L’autorità avvia così un controllo presso la sede della società e scopre che questa era a conoscenza di questa mancanza di sicurezza fin dal marzo 2018, ma non aveva fatto nulla per contrastarla.

Le 12 août 2018, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie d’une plainte d’un utilisateur du site. Le plaignant indiquait qu’une modification du caractère X dans l’adresse URL composée comme suit : https://www.crm.sergic.com/documents/upload/eresa/X.pdf , où X représente un nombre entier, lui avait permis d’accéder aux pièces justificatives qu’il avait lui-même téléchargées via le site mais également à celles téléchargées par d’autres candidats à la location. Dans sa plainte, le plaignant a fourni plusieurs exemples d’ adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers. Il a indiqué avoir informé la société de ces faits dès le mois de mars 2018.

Le violazioni contestate dall’Autorità francese alla società sono due.

La prima relativa alla violazione dell’articolo 32 del GDPR. La società non ha garantito la sicurezza dei dati degli utenti, e non ha nemmeno provveduto tempestivamente a risolvere il problema o a cercare una soluzione adeguata per non consentire a soggetti terzi, non autorizzati, di accedere a tali dati.

La vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente. 

La seconda sanzione, in violazione dell’art. 5 del GDPR. L’Autorità ha constatato che la società ha conservato tutti i documenti caricati dai candidati per una durata superiore a quella necessaria in relazione ai fini del trattamento. Il CNIL ha osservato che, una volta raggiunto lo scopo del trattamento (ad esempio, la chiusura di una candidatura ad affittare una casa) i dati devono essere cancellati o, almeno, archiviati in una banca dati separata qualora fosse stato necessario per adempiere agli obblighi di legge o per gestire eventuali controversie.

Il ressort de ces différents éléments que la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

La sanzione di euro 400.000 stabilita dal CNIL è stata stabilita sulla base dei seguenti parametri:

• la gravità della violazione (La mise en œuvre d’une procédure d’authentification sur le site était une mesure élémentaire à prendre, qui aurait permis d’éviter la violation de données personnelles).
• l’inerzia della società nell’affrontare una vulnerabilità conosciuta (a manqué de diligence dans la correction de la vulnérabilité alors qu’en présence d’une violation de données, le RGPD impose une réaction rapide).
• il fatto che i documenti accessibili rivelassero aspetti privati della vita dei richiedenti (informations particulièrement précises sur certains aspects de leur vie privée).
• le dimensioni dell’azienda e la sua solidità finanziaria.

Fonte: https://www.cnil.fr