Petites ou grandes les entreprises doivent craindre le RGPD
Voilà déjà plus d’un an que le RGPD, règlement général pour la protection des données, est entrée en vigueur. Des sanctions ont déjà été prises. Et ce ne sont pas toujours de grosses entreprises qui sont visées. La preuve avec cette nouvelle délibération de la Cnil rendue publique le 6 juin 2019
Si des petites entreprises comptaient sur la clémence des institutions, il faut qu’elles révisent rapidement leur jugement. Car à la lecteur de celui que vient de rendre la Cnil, il semble bien que ce temps soit désormais révolu.
Une ETI sanctionnée
En effet, l’entreprise Sergic, spécialisée dans la promotion immobilière, emploie 486 employés et réalise un chiffre d’affaire de 43 millions d’euros (chiffre 2017). C’est donc un ETI, une entreprise de taille intermédiaire. Elle a été condamnée à une sanction de 400 000 €.
Des dommages à l’image
A la condamnation, il faut ajouter la mauvaise publicité que celle-ci ne manquera pas de provoquer.
Une protection insuffisante
La Cnil reproche à l’entreprise de n’avoir pas suffisamment protégé les données des utilisateurs de son site web. Ont également été pointé du doigt par la commission, des modalités de conservation des données inappropriées.
La plainte d’un utilisateur
Le jugement trouve son origine dans la plainte d’un utilisateur déposé en août 2018, seulement quatre mois après la mise en application du RGPD, le réglementent général pour la protection des données.
Des documents confidentiels librement accessibles
Depuis son espace personnel, l’utilisateur avait pu accéder aux données d’autres utilisateurs simplement en modifiant l’URL.
Autrement dit, les documents privés et personnels, comme des avis d’imposition, copie d’attestation de cartes vitales, carte d’identité, etc. étaient librement accessibles, sans authentification préalable.
Une faille connue de longue date
Avertie en septembre puis contrôlée quelques jours plus tard par la Cnil, l’entreprise s’était trouvée dans une situation très délicate : les agents ont ainsi découvert sur place que cette faille était connue de l’entreprise… au moins depuis le mois de mars 2018.
Des correctifs en cours
Certes, la société avait commencé des développements pour corriger les failles. Mais ces développements n’étaient réellement entrés en vigueur que 10 jours après le premier contrôle en ligne de la Commission. Un délai jugé trop long. La faille trainait finalement depuis plus de 6 mois…
Une conservation sans limite de durée
Prévue par l’article 32 du RGPD, la sanction a été à la hauteur des manquements. De surcroit, la Cnil a pu constater à cette occasion que les données étaient stockées sans limitation de durée. Et donc au-delà de la durée nécessaire à l’attribution de logements.
Des décrets toujours publiés
A noter, enfin que le règlement continue à produire de la matière juridique, un an après son adoption. Ainsi le 29 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été adopté.
Le responsable de sécurité, directement concerné
En février 2018, nous avions réalisé un dossier complet sur le RGPD où nous expliquions les impacts pour le responsable de la sécurité. La vidéosurveillance, le contrôle des accès, pour ne citer que deux sujets, sont directement concernés par le règlement européen.
David Kapp – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…