La mise en application du RGPD il y a un an commence à produire de réels effets, notamment sur le montant des amendes infligées par la CNIL pour de graves manquements en matière de gestion des données personnelles. La première société française à en faire l'expérience est le spécialiste en services immobiliers Sergic, important groupe proposant des prestations très variées allant du syndic d'immeuble à l'immobilier d'entreprise en passant par le courtage d'assurances ou la maîtrise d'ouvrage pour un chiffre d'affaires de près de 70 millions d'euros.

Par une délibération du 28 mai 2019, la CNIL vient ainsi de sanctionner Sergic avec une amende de 400 000 euros, sanction qui a, de plus, été rendue publique et publiée au Journal Officiel aujourd'hui. La double peine (amende et atteinte à la réputation) est l'objectif poursuivi. L'amende est donc d'un montant d'environ 0,5 % du chiffre d'affaires alors que la peine encourue atteignait 4 % du chiffre d'affaires, soit 2,8 millions d'euros environ. Vue l'ampleur des manquements, gageons que la CNIL fait simplement encore preuve d'un peu de retenue. Pour l'instant. La CNIL mentionne qu'elle a pris en compte « la taille de la société et sa surface financière ».

Des faits d'une extrême gravité

Tout d'abord, les données concernées étaient extrêmement sensibles. En effet, en tant qu'opérateur immobilier, le groupe Sergic collecte à bon droit des copies de cartes d'identité, de carte vitale, d'avis d'imposition, de relevés de comptes, de relevés d'identité bancaire voire même des jugements de divorce ou des attestations de caisses d'allocations familiales. Comme la CNIL le relève, il s'agit de données révélant « des aspects très intimes de la vie des personnes ». Ajoutons, ce que la CNIL ne publie pas, que la divulgation de telles données met en danger les personnes concernées : un RIB peut permettre la mise en place de prélèvements frauduleux, l'association de ces divers documents des usurpations d'identité difficiles à détecter par des opérateurs de crédits en ligne, par exemple.

Le premier manquement concerne en effet la sécurité de ces données hautement sensibles, manquement aggravé par un manque singulier de diligence pour le corriger. En effet, la CNIL a opéré un contrôle en ligne le 7 septembre 2018 suite à une plainte déposée en Août par un citoyen. Mais il s'est révélé que la faille, aussitôt communiquée par la CNIL à la société, très évidente, était connue de Sergic depuis mars 2018. Il s'agissait très classiquement de la possibilité d'accéder à des données d'autres utilisateurs en modifiant manuellement l'URL de son propre dossier. La correction, dont le développement avait commencé, n'a été appliquée que le 17 septembre 2018. Aucune mesure conservatoire n'avait, de plus, été prise. Par ailleurs, toujours malgré la sensibilité des données, celles-ci étaient conservées sans limitation de durée. La CNIL rappelle que les documents ne doivent être conservés que le temps nécessaire pour leur utilité, éventuellement en archivage (donc pas en ligne) pour des précautions en cas de possibilité de litige.