Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448 - 255

D

O

C

T

R

I

N

E

DONNÉES PERSONNELLES

L'obligation de sécurité :
une obligation
de moyen renforcée
La Cnil a prononcé une sanction de 400 000  €
pour défaut de sécurité ayant permis une
fuite de données et violation de l'obligation de
conservation pour une durée limitée des données.
Une augmentation significative du montant
des condamnations prononcées par la Cnil sous
l'empire du RGPD.

L

e 25 mai 2018, le RGPD
entrait en vigueur. Depuis
lors, hormis la décision
emblématique
rendue
à
l'encontre de Google LLC à hauteur de
50 millions d'euros1, peu de sanctions
ont été prononcées par la Cnil sur le
fondement du RGPD, car la plupart
des décisions qui sont intervenues,
bien que rendues postérieurement à
cette entrée en vigueur, portaient sur
des faits antérieurs.

La délibération de la formation
restreinte de la Cnil du 28 mai 2019
qui sanctionne la société Sergic sur
le fondement d'un manquement à
la sécurité et à la confidentialité, au
visa de l'article 32 du RGPD et sur le
fondement du manquement à l'obligation de conservation pour une
durée proportionnée, au visa de
l'article 5 du RGPD, présente donc un
intérêt particulier.
D'une part, elle permet de mesurer
la portée de la nouvelle obligation
instituée par l'article 32 du RGPD

et de la comparer à l'obligation
de sécurité qui pesait antérieurement
sur les responsables de traitement,
aux termes de l'article 34 de la loi du
6 janvier 1978 modifiée.
D'autre part, elle permet d'apprécier
le montant d'une amende financière
prononcée sous l'empire du RGPD et
de le comparer à celui des sanctions
prononcées sous l'empire de la loi
antérieure pour le même type de
manquement. L'on constate ainsi
que la sanction infligée à Sergic à
hauteur de 400 000  € représente le
double, voire le triple, du montant des
amendes prononcées sous l'empire
de la loi antérieure par le régulateur
français pour des manquements
comparables.

Les faits
La société Sergic (ci-après Sergic) a
une activité de gestion immobilière,
dans le cadre de laquelle elle collecte,
par le biais de son site, les pièces
justificatives qu'elle demande aux
candidats à la location d'un bien.
EXPERTISES Juillet-Août 2019

Le 12 août 2018, la Cnil est saisie d'une
plainte d'un utilisateur qui indique
que, par le biais d'une modification
d'un caractère dans l'adresse URL
du site, il a pu accéder aux pièces
justificatives téléchargées par d'autres
candidats à la location. Il indique en
avoir informé Sergic dès mars 2018.
Le 7 septembre 2018, l'autorité procède
à un contrôle en ligne. Sont alors
téléchargés plus de 9 000 documents
auxquels la délégation a pu accéder
du fait de la faille de sécurité. Parmi
ceux-ci se trouvent certaines données
à caractère sensible ou encore à
caractère hautement personnel, telles
que des relevés d'identité bancaire
ou des copies de cartes Vitale portant
mention du NIR2. La délégation
informe la société Sergic le jour même
du défaut de sécurité.
Le 13 septembre 2018, la Cnil procède
à un contrôle sur place et constate que
le défaut de sécurité existe toujours.
De plus, le responsable de traitement
admet que les documents collectés

255

Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448