Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

La CNIL expose avoir, dans le cadre de son contrôle annuel 2018, procédé à plusieurs vérifications auprès d’agences immobilières pour vérifier les conditions de mises en œuvre des traitements relatifs à la collecte et la conservation des pièces justificatives demandées pour l’accès au logement locatif privé.

Si la nature des documents collectés par les agences immobilières est relativement conforme à la liste du Décret de 2015, la CNIL a constaté des manquements récurrents relatifs à :

  • l’information des personnes concernées quant à leurs droits d’accès et de rectification notamment. Cette information doit se faire au moment de la collecte des données personnelles et peut par exemple s’effectuer par le biais de mentions sur les formulaires d’information ;
  • la durée de conservation des données et notamment des pièces justificatives transmises lors du dépôt d’un dossier de location. Celles-ci doivent être détruites dès lors qu’elles ne sont plus utiles pour la décision d’attribution du logement ou être archivées avec un accès restreint afin de se conformer à ses obligations légales ;
  • aux mesures de sécurité physiques et logiques mises en place compte tenu notamment de la nature des données transmises qui révèlent la situation personnelle et financière des personnes.

Pour mémoire, la CNIL a prononcé le 28 mai 2019 une sanction financière de 400.000 euros à l’encontre de la société SERGIC spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La CNIL avait notamment constaté que le site que la société édite et qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier était insuffisamment sécurisé.

La décision de sanction est disponible ici :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

[:fr]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:en]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:]

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

[:fr]

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER.

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf[:en]

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf

 [:]