RGPD : que risquent vraiment les agences immobilières ?

Pourquoi Sergic a-t-elle été condamnée ?

La société Sergic, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière permet aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier. En août 2018, l’un d’eux a déposé plainte auprès de la CNIL indiquant avoir pu accéder à des documents enregistrés par d’autres utilisateurs via son espace personnel sur le site de Sergic. Parmi ces documents figuraient des copies de cartes d’identité, de cartes vitale, d’avis d’imposition, de jugements de divorce, de relevés de compte… « La CNIL a ainsi identifié la possibilité d’accéder à la totalité de la base, soit à plusieurs centaines de milliers de documents hautement sensibles et confidentiels », précise Sylvain Staub, avocat spécialisé dans les datas.Une enquête a également permis de démontrer que la société avait eu connaissance de la vulnérabilité de sa sécurité dès le mois de mars 2018 et que la correction n’avait été effective qu’au 17 septembre 2018.  « Outre cette faille technique, un problème d’organisation et de gouvernance interne a également induit une conservation des données de manière illimitée, alors que la CNIL demande à ce que celles-ci soient effacées une fois la finalité atteinte ou si la conservation est nécessaire, qu’elles fassent l’objet d’un archivage intermédiaire », indique l’avocat. 

Quelles ont été les sanctions ?

Sur cette base, la société Sergic a été condamnée, le 6 juin 2019, à payer une amende de 400 000 euros pour avoir insuffisamment protégé les données de ses utilisateurs de son site et mis en œuvre des modalités de conservation des données inappropriées. Cette amende entre dans le cadre du RGPD qui prévoit des sanctions pouvant s’élever jusqu’à 4 % du chiffre d’affaires mondial. « Outre cette lourde condamnation financière, l’agence immobilière a également subi une très mauvaise publicité puisque la CNIL a décidé de rendre publique sa sanction en raison de la gravité du manquement », souligne Sylvain Staub. La société Sergic avait en effet tous les moyens de savoir qu’elle avait des failles de sécurité dans son système, qu’elle conservait les données trop longtemps, mais aussi que la CNIL avait déjà sanctionné des entreprises pour des cas similaires.

Les bonnes pratiques à mettre en place

Pour se mettre en conformité avec le RGPD, une agence immobilière doit dans un premier temps se saisir de la question, cartographier l’ensemble de ses traitements à caractère personnel et mettre en place un projet. Elle doit également utiliser une méthode pour prendre tous les aspects du RGPD les uns après les autres, lister tous les points de mise en conformité et tenir un registre des traitements. Enfin, la réussite passe par l’utilisation d’un outil qui va permettre de digitaliser le parcours, de mettre en place des process automatiques et de rendre pérenne l’ensemble des actions mises en œuvre.« Sans ces étapes, le risque est de passer à côté de certaines failles et donc se confronter de plus en plus à des risques de sanctions. Rappelons que la CNIL a déclaré au début de l’année 2019 qu’elle porterait son attention à trois secteurs, dont l’immobilier », conclut Sylvain Staub. 

Stéphanie Marpinard