Sergic est une société française, spécialisée dans la promotion et dans la gestion immobilière. Dans le cadre du RGPD, la CNIL a estimé que l’agence immobilière « avait porté atteinte à la sécurité des données de ses clients et ne respectait pas les durées de conservation ». En guise d’exemple, l’organe de régulation français inflige une amende conséquente de 400 000 € à Sergic.
Après avoir infligé, en janvier dernier, une amende de 50 millions d’euros à Google, la CNIL s’attaque aux petites entreprises. 400 000 euros : c’est une somme énorme pour une société de cette taille. D’après la CNIL, Sergic n’aurait pas suffisamment protégé les données des utilisateurs de son site web. L’agence immobilière aurait également mis en place des techniques pour conserver les données et pouvoir les réutiliser. Tout cela n’est plus possible depuis l’application du RGPD, le 25 mai 2018.
Pour rappel : le Règlement Général pour la Protection des Données, ou RGPD, s’applique dans les cas où il y a des défauts au niveau de la protection des données. Par exemple si les données de visiteurs d’un site internet sont exploitées publiquement, les particuliers peuvent porter plainte et estimer que l’entreprise ne respecte pas le RGPD. C’est à ce moment là que la CNIL a pour mission d’investiguer auprès des partis afin de déterminer si une pénalité est applicable ou non.
Dans le cas de Sergic, un utilisateur a porté plainte après avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs. En effet sur www.sergic.com, vous pouvez laisser un dossier avec vos documents d’identité, bulletins de salaires et toutes les autres pièces justificatives dont vous aurez besoin pour constituer un dossier dans le cadre d’un achat ou de la location d’un bien immobilier.
Problème : la société avait connaissance de ce problème depuis mars 2018. La correction n’a été effective qu’en septembre 2018. La faille est donc restée publique trop longtemps. La CNIL a donc estimé que Sergic avait réalisé un « manquement à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD ».
