Le Conseil d'Etat, par une décision du 4 novembre 2020, a confirmé la décision de sanction à l'encontre de la société SERGIC du 29 mai 2019 par la CNIL.
Dans cette décision, le Conseil d'Etat :
- confirme que dans ses contrôles en ligne, la CNIL peut télécharger des fichiers en toute légalité,
- confirme qu'une sanction peut être prise sans mise en demeure préalable, c'est à dire sans demande de correction du manquement.
- juge proportionnée la sanction de 400 000 euros infligée en raison d'une faille de sécurité rendant accessibles des documents de plusieurs dizaines de milliers de candidats à la location et pour absence d'archivage intermédiaire.
La sanction sert notamment à "assurer le caractère dissuasif et informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés".
Pour rappel, la société SERGIC avait été condamnée à 400 000 euros d'amende pour non respect de l'article 32 du RGPD sur la sécurité. En effet, des dizaines de miliers de documents de candidats étaient librement accessibles à des tiers non autorisés. Ainsi la faille de sécurité permettait d’accéder facilement à près de 300 000 fichiers concernant près de 30 000 personnes, dont des documents aussi sensibles que des contrats de travail, bulletins de salaires, avis d’imposition et justificatifs d’identité, comme des copies d’attestations de carte vitale faisant état du numéro de sécurité sociale (NIR).
Il lui avait également été reproché de ne pas assurer une conservation des données de manière satisfaisante, notamment en conservant l'ensemble des données en base active sans mettre en place d'archivage intermédiaire tel que recommandé par la norme simplifiée NS-021 du 18 décembre 2003 qui indique notamment de limiter la durée de conservation de telles données en base active à trois mois et, au-delà de cette durée, de détruire les données ou de les archiver dans une base distincte ou d’opérer une séparation logique avec les données actives, de sorte qu’elles ne soient plus accessibles pour la gestion courante mais continuent à être détenues afin de permettre au responsable de traitement de répondre à des obligations légales ou à des fins contentieuses ou précontentieuses.
La durée de 6 années en base active avait été jugée totalement disproportionnée.
Découvrez comment gérer les durées de conservation avec DASTRA.
Sur le montant, le Conseil d'Etat estime les manquements suffisemment graves pour justifier le montant qui correspond à 1% du chiffre d'affaires, notamment au regard des sanctions demandées par le RGPD.