RGPD : Un an après quel bilan ?

Le règlement européen de protection des données (RGPD) a été adopté le 27 avril 2016 en vue d’harmoniser les législations des Etats membres de l’Union en unifiant le cadre juridique de protection des données personnelles. Il est entré en application immédiate à compter du 25 mai 2018.

Antérieurement, des démarches préalables de déclaration devaient être effectuées auprès de la CNIL. Le RGPD, qui a mis fin à cette obligation, a néanmoins renforcé les pouvoirs de sanction, a posteriori, de cette entité. Ainsi, dans une délibération n°SAN-2019-005 du 28 mai 2019, elle met en application ses nouveaux pouvoirs en condamnant une agence spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière au paiement d’une amende de 400 000 € pour manquement au RGPD.

Une faille de sécurité

Dans cette affaire, la CNIL, suite à la plainte d’un particulier à l’encontre d’une agence immobilière, avait engagé une mission de contrôle en ligne et avait constaté que la saisie d’une adresse URL de cette agence, fournie par le plaignant, permettait à toute personne de télécharger un avis d’imposition établi au nom d’une autre personne. Elle était ensuite parvenue à télécharger 9446 documents au moyen d’un script, dont notamment des copies de cartes d’identité, de cartes vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale (…). Après avoir averti l’agence de cette faille de sécurité, la commission s’était rendue sur place. L’ensemble du répertoire du professionnel immobilier, qui contenait 290 870 fichiers au jour du contrôle, était rendu accessible par ce défaut de sécurité. De plus, les documents des locataires ne faisaient l’objet d’aucune purge et n’étaient pas réutilisés ultérieurement.

La CNIL s’explique

La CNIL, va notamment souligner que :

• l’exploitation de la vulnérabilité ne requiert en l’espèce aucune maîtrise technique particulière en matière d’informatique.
• le manquement à l’obligation de sécurité est aggravé au regard de la nature des données à caractère personnel qui sont rendues accessibles.
• l’existence de cette vulnérabilité a été portée à la connaissance de l’agence en mars mais celle-ci n’a été résolue qu’en septembre.
• l’agence conservait dans sa base active les données à caractère personnel des candidats locataires n’ayant pas accédé à la location pour une durée excédante, dans des proportions importantes, celle nécessaire à la réalisation de la finalité du traitement.

Les syndics collectent et traitent les données à caractère personnel des copropriétaires et sont donc tenus, à ce titre, au respect du RGPD. Les principales mesures qu’ils doivent prendre, afin d’éviter ce type de sanction, sont les suivantes :

• La mise en place d’un registre qui ne sera pas obligatoire dans toutes les hypothèses mais qui reste vivement conseillée (article 30 du RGPD). On peut pour cela s’appuyer sur le modèle de registre proposé par la CNIL sur son site.
• La désignation d’un responsable du traitement et dans certains cas d’un Data Protection Officer (DPO).
• S’assurer du respect, par les sous-traitants, de leurs obligations.
• La réalisation d’un tri des données avec suppression ou anonymisation de celles qui sont inutiles ou dont l’objectif de conservation a déjà été rempli.
• Le respect des droits d’accès, à l’oubli, à la portabilité des données, d’opposition, de rectification.
• Le renforcement des obligations d’obtention du consentement et d’information des personnes.
• Des mesures nécessaires doivent être prises afin de garantir au mieux la sécurité des données, en minimisant les risques de pertes ou de piratage (ex : choisir des mots de passe complexes et en changer régulièrement, mettre à jour les antivirus, mettre en place des procédures de sauvegarde ou de récupération des données en cas d’incident, sécuriser les locaux).
• Informer la CNIL et dans certains cas la personne dont les données ont été recueillies, de toute violation de ces données.