URLs prédictives, une constante atteinte au RGPD

Une violation de données causée par des urls prédictives

 

Lors d’une délibération rendue le 28 mai 2019 par la formation restreinte de la CNIL, la société Sergic, spécialisée dans le secteur de l’immobilier, a été condamnée à payer une amende de 400 000 euros. Cette délibération a également été rendue publique sur le site de la CNIL.

 

Pour rappel des faits, la société Sergic dispose d’un site internet où ses utilisateurs peuvent télécharger les pièces justificatives leur permettant de constituer leur dossier.

Or, en mars 2018, un utilisateur informe la société qu’il a pu accéder à des documents enregistrés par d’autres utilisateurs, simplement en effectuant une légère modification sur l’URL du site.

Quelques temps plus tard, ce même utilisateur décide de porter plainte devant la CNIL afin de la prévenir que la violation de données constatée était toujours d’actualité. La CNIL réalisa un premier contrôle en ligne le 7 septembre 2018 et a pu télécharger plus de 9000 documents dont des copies de carte d’identité, de carte vitale, d’avis d’imposition, de relevés de compte,...

 

Après avoir alerté ce jour là la société du défaut de sécurité de leur site, la CNIL effectue le 13 septembre 2018 un contrôle dans les locaux de la société. A cette date, les adresses URLs du site permettaient toujours de se procurer les documents de nombreux utilisateurs.

 

La société corrigea ce défaut de sécurité le 17 septembre 2018.

 

La conséquence de deux manquements au RGPD

 

Suite à ces contrôles, la CNIL prononce une sanction contre la société pour non respect du Règlement Général sur la Protection des Données (RGPD).

 

Tout d’abord, il a été constaté que cette dernière n’a pas respecté l’article 32 du RGPD en ce qui concerne son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel.

En effet, la CNIL a relevé que que le site internet en question aurait dû avoir une procédure d’authentification des utilisateurs du site, qui selon elle était “une mesure élémentaire à prendre, qui aurait permis d’éviter la violation de données personnelles”. De plus, la CNIL a souligné que la société a manqué de diligence puisqu’elle n’a ni corrigée cette violation de données même après en avoir été averti depuis 6 mois, ni n’a tenté de réduire ce défaut de sécurité en attendant de le corriger.

 

De plus, il a été constaté par la CNIL que la société n’a également pas respecté l’article 5 du RGPD affirmant que les données à caractère personnel doivent être conservées “pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées”.

En effet, lors des contrôles opérés par la CNIL, celle-ci a découvert qu’aucune durée de conservation n’avait été déterminée par la société Sergic en ce qui concerne le stockage de l’ensemble des documents transmis par “les candidats n’ayant pas accédé à la location au delà de la durée nécessaire à l’attribution de logements”

 

Une sanction dissuasive pour une violation classique

 

Dès lors, la CNIL a prononcé le 28 mai 2019 une sanction de 400 000 euros à l’encontre de la société Sergic, et a décidé de rendre publique cette sanction.

 

Or, ce n’est pas la première fois que la CNIL a sanctionné un organisme pour défaut de sécurité causé par des urls prédictives. En effet, ce type de violation de données a déjà été constaté auprès de Bouygues Télécom (https://www.datanaos.com/blog/Les-URL-predictives-une-nouvelle-fois-sanctionnees-par-la-CNIL) ou auprès de l’association Alliance Française Paris Île-de-France (https://www.datanaos.com/blog/URL-predictive-la-CNIL-prononce-a-nouveau-une-sanction).

 

Ce type de violation n’est pas nouvelle, et la décision de rendre publique cette sanction s’explique probablement par la volonté de la CNIL de faire cesser des atteintes basiques et pourtant importantes à la protection des données des personnes.

 

À noter que la sanction n’est pas aussi lourde que l’on pourrait le penser puisque :

  • le chiffre d’affaires de la société en 2017 était de 43 millions d’euros, et que le rapporteur de la CNIL avait proposé une sanction à hauteur de 900 000 euros. Or, la CNIL a décidé de réduire cette amende à 400 000 euros, ce qui représente moins d’1% du chiffre d’affaires de 2017 de ladite société ;

  • dans la liste des données des personnes accessibles, un certain de données ne respectent pas le principe de minimisation des données, n’étant pas nécessaires pour atteindre les finalités des traitements de la société (par exemple, la photocopie de carte vitale des potentiels acheteurs).

 

Bien que la CNIL souhaite montrer à tous que le RGPD s'applique également sur les sites internet, rien ne garantit que ce type de violation de données ne perdure pas malgré les nombreuses sanctions déjà appliquées.

 

Source : Site officiel de la CNIL