• Le secteur immobilier dans la ligne de mire des contrôles de la CNIL : sanction de 400 000 € prononcée par la CNIL à l’encontre de la société SERGIC

Saisie en août 2018 d’une plainte d’un utilisateur du site internet de la société SERGIC, spécialisée dans l’immobilier, la Commission nationale Informatique et Libertés (CNIL) a d’abord réalisé un contrôle en ligne qui lui a permis de constater que les documents transmis par les candidats à la location (copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, de jugements de divorce, de relevés de compte, etc.) étaient librement accessibles en modifiant légèrement l’URL affichée dans le navigateur et sans qu’il n’y ait d’authentification préalable. L’autorité de protection des données a ensuite effectué un contrôle sur place qui a révélé que la société avait connaissance de cette vulnérabilité laquelle a été définitivement corrigée au bout de 6 mois. Dans sa délibération n° SAN — 2019-005 du 28 mai 2019, la formation restreinte a constaté le manquement de la société SERGIC à son obligation de sécurité des données personnelles des utilisateurs, en particulier au regard de la nature sensible de ces données et de la connaissance en amont de cette vulnérabilité. Cet organe de la CNIL chargé de prononcer les sanctions a également constaté le manquement de la société au principe de durée de conservation limitée dans la mesure où les documents des candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements sont conservés en base active de manière indéfinie. Dès lors, compte tenu de la situation financière de la société, la formation restreinte a prononcé une sanction de 400 000 € à son encontre et a décidé de la rendre publique.

• 4^ème rapport annuel d’activité sur le contrôle du blocage administratif des sites internet

Conformément à l’article 12 de la loi du 13 novembre 2014 relative à la lutte contre le terrorisme, une personne qualifiée est désignée par la CNIL pour exercer une mission de contrôle sur le bien-fondé des demandes de retrait de contenus et de blocage formulées par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Ces demandes portent sur des sites internet provoquant à des actes de terrorisme ou en faisant l’apologie ainsi que des sites ayant des contenus à caractère pédopornographique. Monsieur Alexandre LINDEN, désigné pour exercer cette mission depuis février 2014, a présenté son quatrième rapport annuel d’activité pour la période allant du 1^er mars 2018 au 1^er février 2019 qui met en avant une baisse de 34% des demandes émanant de l’OCLCTIC, notamment en raison de la baisse de production de contenus de propagande du groupe terroriste Daech et de la diminution sur la période du nombre d’attaques terroristes sur le territoire français. A l’inverse, ce sont les contenus à caractère pédopornographique qui représentent désormais la majorité des contrôles, à hauteur de 91%.