RGPD : une agence immobilière a été condamnée à 400 000 euros d'amende

18.06.2019

Immobilier

Le défaut de sécurité du site de l'administrateur de biens qui permettait d'avoir accès aux documents personnels téléchargés par les locataires pour compléter leurs dossiers de candidature a été sanctionné par la CNIL, par une amende de 400 000 euros.

La société SERGIC, spécialisée dans la promotion immobilière, l'achat, la vente, la location et la gestion immobilière a été condamnée à 400 000 € d'amende pour manquements au règlement général sur la protection des données (RGPD).

Immobilier

La gestion immobilière regroupe un ensemble de concepts juridiques et financiers appliqués aux immeubles (au sens juridique du terme). La gestion immobilière se rapproche de la gestion d’entreprise dans la mesure où les investissements réalisés vont générer des revenus, différents lois et règlements issus de domaines variés du droit venant s’appliquer selon les opérations envisagées.

Découvrir tous les contenus liés

L'agent immobilier a d'abord manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel que lui avaient fournies les candidats à la location pour la constitution de leur dossier en ligne sur son site (avis d'imposition, copies de carte d'identité, jugement de divorce, relevés de compte, RIB, etc.). L'absence de mise en place d'une procédure d'authentification des utilisateurs a en effet permis à des tiers et à la délégation de contrôle de la CNIL d'accéder aux documents stockés. En l'espèce, l'accès supposait la simple modification d'une variable dans l'adresse URL. La nature des données pouvant être accessible a été considérée comme une circonstance aggravante. En outre, une fois la vulnérabilité portée à sa connaissance, la société a mis 6 mois a réagir alors que la CNIL estimait que des mesures d'urgence simples auraient pu être mises en place pour réduire la violation des données (déplacement des fichiers vers un répertoire temporaire ou filtrage des URL).

L'autre manquement au RGPD était la conservation des données pour une durée qui n'était pas proportionnée à la finalité de leur collecte, c'est-à-dire en l'espèce, à l'attribution d'un logement en location. En effet, la CNIL rappelle que lorsque la finalité est atteinte, les données doivent être soit supprimées, soit faire l'objet d'un archivage intermédiaire quand leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuse ou contentieuse. A ce stade, des mesures techniques et organisationnelles doivent garantir que seules les personnes ayant intérêt à traiter les données en raison de leur fonction (par exemple, un service juridique) y ont accès. L'administrateur de biens conservait notamment les informations relatives à des candidats qui n'avaient pas conclu de contrat de location.

La société SERGIC a donc été condamnée à une amende de 400 000 €. Par ailleurs, la CNIL a décidé de rendre sa décision publique, cette dernière ne sera anonymisée qu'à l'expiration d'un délai de 2 ans à compter de sa publication.

La leçon à tirer de cette décision est que les professionnels de l'immobilier doivent concevoir des sites avec des procédures d'authentification et réagir rapidement lorsqu'ils sont alertés qu'il existe une faille de sécurité dans le système. Il convient de noter que la nature des données influe sur la sanction, le manquement au RGPD est d'autant plus grave que les informations sont précises et touchent à la vie privée.

Alexandra Fontin, Dictionnaire permanent Gestion immobilière
Vous aimerez aussi

Nos engagements