Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448 - 256

D

O

C

T

R

I

N

E

ne font l'objet d'aucune purge  : les
documents des candidats qui n'ont
pas accédé à la location étant conservés en base active alors qu'ils ne sont
pas réutilisés ultérieurement. Sergic
reconnaît ainsi un manquement à
l'obligation de conserver les données
pour une durée proportionnée à la
finalité du traitement.
Le rapporteur désigné propose à la
formation restreinte de prononcer une
sanction à hauteur de 900 000  €, ce
qui représente environ 2% du chiffre
d'affaire annuel de 43 millions d'euros.
La formation restreinte prononcera
finalement une amende administrative de 400 000  €, décidant de
rendre la délibération publique, avec
anonymisation de celle-ci à l'issue
d'un délai de deux ans.

L'obligation de sécurité,
une obligation de
moyen renforcée ?
Le principal manquement sanctionné
est le défaut de sécurité qui a permis la
fuite de données.
Pour rappel l'article 32 du RGPD
dispose que  : «  compte tenu de la
nature (...) du traitement ainsi que (...)
des risques (...) pour les droits et libertés
des personnes (...) le responsable de
traitement et le sous-traitant mettent
en œuvre les mesures techniques et
organisationnelles appropriées afin de
garantir un niveau de sécurité adapté
au risque (...). »
Or, la formation restreinte rappelle
qu'en l'espèce, le responsable de
traitement n'avait pas mis en œuvre
de procédure d'authentification des
utilisateurs du site, ce qui traduit une
conception défectueuse du site. Elle
indique qu'il s'agit là d'une précaution d'usage essentielle qui aurait
significativement réduit le risque de
survenance de la violation de données.
A cet égard, la Cnil rappelle que cette
vulnérabilité est très répandue et que
de nombreuses sanctions publiques
ont déjà été prononcées pour des faits
similaires.
Ainsi, à la question de savoir si l'article
32 du RGPD institue une obligation de sécurité qui serait renforcée

256

par comparaison à celle qui était
imposée antérieurement aux responsables de traitement aux termes de
l'article 34 de la loi du 6 janvier 1978
modifiée3, la décision ne permet pas
d'apporter directement de réponse
puisqu'en effet, l'autorité de contrôle
souligne que le type de manquement
commis par la société Sergic a été
sanctionné maintes fois sous l'empire
du droit antérieur au RGPD.
D'aucuns considèrent que si l'obligation de sécurité sous l'empire
du droit antérieur4 était interprétée
comme posant une obligation de
moyen, l'article 32 du RGPD poserait
désormais une obligation de moyen
renforcée. Ce débat porte principalement sur la charge de la preuve. Ainsi,
en cas de survenance d'une faille de
sécurité, si le responsable de traitement est tenu de rapporter la preuve,
pour s'exonérer de sa responsabilité,
de l'absence de tout manquement de
sa part ou encore du fait d'un tiers, cela
équivaut à lui imposer une obligation
de résultat sur la sécurité. Si à l'inverse,
le responsable de traitement peut se
contenter de rapporter la preuve qu'il a
mis en œuvre des mesures conformes
à l'état de l'art pour prévenir le risque
de fuite, comme c'était le cas sous
l'empire du droit antérieur, il n'est tenu
que d'une obligation de moyen.
Avec le RGPD, l'on peut considérer
que le responsable de traitement est
désormais tenu d'une obligation
de moyen renforcée, notamment
parce que celui-ci devient soumis
au principe «  d'accountability  » qui
l'oblige à établir la preuve de sa conformité au RGPD et, d'autre part, parce
que le texte même de l'article 32 lui
impose de mettre en œuvre des
mesures appropriées au regard de la
probabilité de survenance du risque
et de l'atteinte qui pourrait en résulter
aux droits et libertés des personnes.
En l'espèce, l'autorité de contrôle
souligne que le manquement à l'obligation de sécurité est «  aggravé  » au
regard du type de données rendues
accessibles. Nous relevons à cet égard
que la Cnil ne remet pas en cause le
caractère proportionné de la collecte
par rapport à la finalité du traitement,
EXPERTISES Juillet-Août 2019

admettant l'argumentation de Sergic
selon laquelle les pièces justificatives collectées étaient nécessaires
à l'appréciation de la solvabilité des
candidats et qu'ils correspondaient à
une liste fixée par décret5.
Toutefois si Sergic a pu collecter à bon
droit ce type de données particulièrement identifiantes ou hautement
personnelles, la Cnil considère que
le manquement est aggravé du fait
de l'absence de mesures de sécurité
appropriées par rapport à la nature des
données à protéger.
Cette délibération semble donc
confirmer la position de la doctrine
qui penche pour une obligation de
sécurité de moyen renforcée.
Reste que Sergic a aussi péché par
son manque de célérité à corriger
la vulnérabilité dont elle avait
été informée depuis mars 2018,
laissant ainsi pendant six mois
jusqu'en septembre 2018, les données
accessibles. Sur ce point, l'argumentation de Sergic selon laquelle elle a
fait le choix de privilégier la stabilité de son système d'information
pendant l'été en raison de la forte
demande de locations durant cette
période, n'a guère été appréciée de
l'autorité de contrôle.
Enfin, le fait d'avoir conservé en base
active les documents transmis par
les candidats n'ayant pas accédé à la
location, alors même que la finalité du
traitement était atteinte, est sanctionné sur le fondement de l'article 5
précité. La Cnil sanctionne Sergic
pour avoir omis, soit de supprimer,
soit de conserver ces données dans
une base intermédiaire présentant des
garanties appropriées.
C'est l'ensemble de ces éléments
et circonstances aggravantes qui a
amené l'autorité à fixer la sanction à
400 000 €.
Nous examinerons ci-après en quoi ce
montant correspond à une augmentation significative du montant moyen
de condamnation sous l'empire du
RGPD et ce, dans la droite ligne de
la tendance relevée auprès d'autres
autorités de contrôle européennes.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448
