Alors que le premier anniversaire du RGPD est derrière nous, les sanctions se multiplient à travers l’Union Européenne pour les organisations qui ne respectent pas cette législation. La France n’est pas en reste à cet égard. Au début de cette année, la Commission nationale de l’informatique et des libertés (CNIL) a infligé à Google une amende record de 50 millions d’Euros, pour avoir contrevenu aux règles du RGPD. Le couperet de la CNIL tombe une fois de plus, alors que l’organisation impose une sanction de 400 000€ à l’encontre de SERGIC, une société du milieu de l’immobilier.
Cette sanction fait suite à la plainte déposée par un utilisateur indiquant avoir pu accéder, depuis son espace personnel sur le site, à des informations personnelles provenant d’autres utilisateurs. Il lui aurait suffi de modifier légèrement l’adresse URL pour avoir accès à certains documents enregistrés sur le site par d’autres usagers. Après avoir fait enquête, la CNIL souligne que parmi les documents visés par cette brèche de sécurité figuraient « des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire. »
Peut-être plus préoccupant est que, la CNIL a conclu que l’entreprise était au fait de cette brèche depuis le mois de mars 2018, alors que la correction complète de celle-ci n’est devenue effective que le 17 septembre de cette même année. La commission a donc jugé que l’entreprise a manqué à son obligation de protéger la sécurité des renseignements personnels des utilisateurs de son site, et donc à l’article 32 du RGPD.
En outre, l’organisme de régulation est arrivé à la conclusion que l’entreprise conservait indéfiniment l’ensemble des documents transmis par des usagers au-delà de la durée nécessaire. Cependant, la CNIL souligne dans son communiqué que la conservation des données personnelles doit se faire sur la base de la finalité de ces dernières, et qu’elles doivent être détruites ou archivées de façon sécurité dès que leur conservation n’est plus nécessaire. Si l’archivage est rendu nécessaire pour des raisons légales par exemple, les données doivent être conservées en archivage intermédiaire, avant d’être détruite aussi rapidement que possible.
Si vous vous inquiétez à savoir si votre entreprise se conforme aux règles mises en place par le RGPD, n’hésitez pas à consulter notre section dédiée à ce sujet, ainsi que cette page créée spécifiquement par ESET pour aider les entreprises à découvrir comment modifier leurs pratiques pour respecter cette législation.