Mise en conformité avec le RGPD : de l’intérêt de lire les délibérations de la Cnil

13 juin 2019

Plutôt que de payer des consultants pour réaliser la conformité avec le règlement général sur la protection des données (RGPD) de leur organisation, les responsables de traitement auraient intérêt à prendre connaissance des délibérations de la Commission nationale de l’informatique et des libertés (Cnil). Retour sur la délibération du 6 juin 2019 concernant la société Sergic. Explications.

Exposé des faits

Sergic est une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Sergic s’est vu infliger une sanction de 400 000 € pour “avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées”. Que s’est-il passé ?

A l’origine la plainte d’un utilisateur « indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur ».

A ce stade deux informations importantes nous sont livrées :

  1. la Cnil intervient, notamment, sur plainte et celles-ci se sont multipliées à la mesure de la prise de conscience de l’importance de la protection des données à caractère personnel et de la médiatisation qui a accompagné la mise en œuvre du RGPD. Aucune organisation, quelle que soit sa taille, ne peut se targuer d’être « sous les radars » de la Cnil.
  2. les failles de sécurité sont le plus souvent élémentaires et internes à l’organisation. Ce sont des failles logiques liées, par exemple, comme dans ce cas, à la programmation, ou des failles organisationnelles liées aussi à l’information des salariés et aux procédures en place dans l’organisation. Les deux étant le plus souvent concomitantes. Ici nous sommes en présence d’une faille qui consiste à faire passer dans l’URL des informations relatives à l’utilisateur. Une légère modification de l’URL donne alors accès aux informations des autres utilisateurs du site.

Ensuite, un manque de diligence : la plainte date d’août 2018. Un contrôle en ligne de la Cnil, en date du 7 septembre 2018, confirme l’existence de la faille. Sergic est alors alertée par la Cnil. Quelques jours après un contrôle sur place de la Cnil est organisé. Il révèle que Sergic avait connaissance de cette faille depuis le mois de mars 2018. Ce n’est que le 17 septembre 2018 que Sergic applique un correctif. La délibération de la Cnil pointe donc que « la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente ».

La suite est réservée aux adhérents. Déjà adhérent ? Connectez-vous.

Adhérer à Nexem, c'est rejoindre un réseau regroupant 10 000 établissements et services employant 300 000 professionnels au service des personnes fragiles.
5 raisons d'adhérer