La société SERGIC (ci-après la société ) est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière qui, pour les besoins de son activité, édite le site web http://www.sergic.com qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
Le 12 août 2018, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie d’une plainte d’un utilisateur du site. Le plaignant indiquait qu’une modification du caractère X dans l’adresse URL composée comme suit : https://www.crm.sergic.com/documents/upload/eresa/X.pdf , où X représente un nombre entier, lui avait permis d’accéder aux pièces justificatives qu’il avait lui-même téléchargées via le site mais également à celles téléchargées par d’autres candidats à la location. Dans sa plainte, le plaignant a fourni plusieurs exemples d’ adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers. Il a indiqué avoir informé la société de ces faits dès le mois de mars 2018.
La Commission nationale de l’informatique et des libertés (CNIL), à la suite de ce signalement faisant état de l’existence d’un défaut de sécurité, a diligenté le 7 septembre 2018 une mission de contrôle en ligne sur le traitement mis en oeuvre par la société d’étude et de réalisation de gestion immobilière de construction (SERGIC), à l’occasion de laquelle a été constaté un manquement aux dispositions de la loi du 6 janvier 2018 relative à l’informatique, aux fichiers et aux libertés et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La Société était informée le jour même.
Au cours de la mission de contrôle en ligne, la délégation a constaté que la saisie de l’une des adresses URL fournies par le plaignant permettait de télécharger un avis d’imposition établi à un nom différent du sien. La délégation a ensuite procédé au téléchargement de 9 446 documents au moyen d’un script, parmi lesquels des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers.
Le 13 septembre 2018, au cours de la mission de contrôle dans les locaux de la société, la délégation de la CNIL a constaté que les adresses URL fournies par le plaignant dans sa saisine permettaient toujours d’accéder aux documents en question. La société a indiqué à la délégation que les pièces justificatives téléchargées par les candidats à la location sont enregistrées dans un répertoire dédié. Il a été précisé que l’ensemble du répertoire avait été rendu accessible par le défaut de sécurité. Il ressort des constatations effectuées que ce répertoire contenait 290 870 fichiers au jour du contrôle. La société a en outre indiqué que les documents fournis par les candidats ne faisaient l’objet d’aucune purge et qu’ils n’étaient pas réutilisés ultérieurement, les documents des candidats ayant accédé à la location étant déplacés dans un autre répertoire de la base de données.
La société a confirmé à la délégation qu’un signalement l’informant de ce que des documents étaient librement accessibles depuis le site, sans authentification préalable, lui était parvenu en mars 2018. Elle a précisé qu’à la suite de ce signalement, elle avait procédé à une première phase d’analyse du défaut de sécurité, qui a donné lieu à un plan d’action mis en œuvre à partir de juin 2018. Elle a également indiqué qu’une première action permettant de ne plus afficher les adresses URL telles qu’elles apparaissaient au moment de la violation avait été déployée quelques jours avant le contrôle du 13 septembre. La société a ensuite expliqué qu’une mesure mettant définitivement un terme au défaut de sécurité devait être mise en production le 17 septembre 2018. Les procès-verbaux des 7 et 13 septembre ont été notifiés à la société le 17 septembre.
La présidente de la CNIL a alors engagé une procédure de sanction à l’encontre de la société SERGIC.
Par une délibération n°2019-995 du 28 mai 2019, la formation restreinte de la CNIL a infligé à la société SERGIC une amende de 400 000 euros et décidé de rendre cette sanction publique pendant une durée de deux ans à compter de sa publication avant anonymisation.
C’est dans ces conditions que la société d’étude et de réalisation de gestion immobilière de construction (SERGIC) a saisi le Conseil d’Etat aux fins de voir
1°) annuler la délibération n° SAN-2019-005 du 28 mai 2019 par laquelle la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d’un montant de 400 000 euros et ordonné la publication de sa délibération pendant une durée de deux ans, avant anonymisation ;
2°) enjoindre à la CNIL de publier la décision à venir du Conseil d’Etat dans les mêmes formes que la délibération attaquée ;
3°) mettre à la charge de la CNIL la somme de 5 000 euros au titre de l’article L. 761-1 du code de justice administrative.
La Société SERGIC développait plusieurs moyens à l’appui de son recours.
1 – Nullité des constatations effectuées en ligne du 7 septembre 2018
La société faisait valoir qu’au cours du contrôle en ligne du 7 septembre 2018, les agents de la CNIL ont procédé à l’extraction des fichiers accessibles depuis des adresses URL composées comme suit : https://www.crm.sergic.com/documents/upload/eresa/X.pdf alors que les dispositions de l’article 44 de la loi Informatique et Libertés n’autorisent les agents de la CNIL qu’à consulter des données librement accessibles ou rendues accessibles et qu’elles ne rendent, en aucun cas, possible le maintien dans un système de traitement automatisé de données en vue d’extraire des données en procédant au téléchargement de celles-ci.
Sur ce point, dans le cadre de sa délibération, la formation restreinte de la CNIL faisait valoir qu’en téléchargeant les fichiers à partir des adresses URL susmentionnées, les agents de la CNIL ont bien procédé à une retranscription des données et non pas à une extraction, dans la mesure où les fichiers n’ont pas été déplacés de la base de données de la société mais ont simplement été copiés. La formation restreinte considère qu’en téléchargeant les fichiers rendus librement accessibles par le défaut de sécurité, les agents de la CNIL ont agi dans le strict respect des dispositions de l’article 44 de la de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige, qui n’énumère au demeurant pas limitativement les formes que peuvent prendre les retranscriptions des agents habilités.
Sur ce point, le Conseil d’Etat rappelle que les dispositions de l’article 44 de la loi de 1978 stipulent que “en dehors des contrôles sur place et sur convocation, ils (les membres de la CNIL et les agents des services habilités) peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle (…) ”
Il estime en conséquence que, pour retranscrire les données d’un service de communication au public en ligne, les membres de la CNIL et ses agents habilités, dans le cadre de leurs missions de contrôle, peuvent télécharger les fichiers rendus accessibles par un défaut de sécurité.
2. Sur l’absence de mise en demeure préalable.
La société faisait également valoir que les manquements qui lui sont reprochés auraient pu être corrigés dans le cadre d’une mise en demeure, estimant ainsi que l’engagement immédiat d’une procédure de sanction, sans mise en demeure préalable, l’a privée de la possibilité de se mettre en conformité.
Selon la CNIL, s’appuyant sur les dispositions de l’article 45 de la loi du 6 janvier 1978, dans sa rédaction applicable au litige, le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure.
Le Conseil d’Etat confirme cette approche sur les fondements de l’article 45.
Il est intéressant toutefois de souligner que la CNIL rappelait utilement que la décision de désigner un rapporteur et de saisir la formation restreinte est un pouvoir appartenant au Président de la CNIL, qui dispose de l’opportunité des poursuites et peut donc déterminer, en fonction des circonstances de l’espèce, les suites à apporter à des investigations en clôturant par exemple un dossier, en prononçant une mise en demeure ou en saisissant la formation restreinte en vue du prononcé d’une ou plusieurs mesures correctrices.
3. Sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel.
Sur cette question, la formation restreinte de la CNIL rappelle que l’existence d’un défaut de sécurité sur le site http://www.sergic.com n’est pas contestée par la société.
Elle constate que ce défaut de sécurité a rendu possible la violation de données à caractère personnel dans la mesure où il a permis à des tiers non autorisés d’accéder à ces données.
Elle rappelle que lorsqu’une requête visant à accéder à une ressource est adressée à un serveur, celui-ci doit préalablement s’assurer que l’émetteur de cette requête est autorisé à accéder aux informations demandées.
En l’espèce, la formation restreinte relève que tant le plaignant que la délégation de contrôle ont pu librement consulter les documents transmis à la société par un grand nombre de candidats à la location, sans qu’une mesure ne restreigne cette possibilité.*
Selon la formation restreinte, cet accès aux documents conservés par la société traduit une conception défectueuse du site, caractérisée en l’espèce par l’absence de mise en place d’une procédure d’authentification des utilisateurs. Selon elle, la violation de données résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement sur le répertoire en question, et que seules celles-ci pouvaient y accéder. Elle considère que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle, qui aurait permis de garantir la confidentialité des données personnelles traitées et de réduire significativement le risque de survenance de cette violation de données.
La formation restreinte note que l’existence de la vulnérabilité sur le site http://www.sergic.com a été portée à la connaissance de la société dès le 8 mars 2018 et n’a été résolue qu’en septembre 2018. Les données personnelles des utilisateurs ont donc été accessibles durant au moins six mois alors même que la société SERGIC en avait connaissance. Si la formation restreinte admet que la correction de la vulnérabilité pouvait nécessiter des phases d’analyse et de développements techniques, elle estime que des mesures d’urgence n’ayant pas pour objectif de corriger la vulnérabilité mais de réduire l’ampleur de la violation de données étaient techniquement simples à mettre en place et auraient pu être rapidement déployées.
4. Sur le manquement à l’obligation de conserver les données pour une durée proportionnée
La formation restreinte rappelle que la durée de conservation des données personnelles doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Ces données doivent alors être placées en archivage intermédiaire, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Ainsi, après avoir opéré un tri des données pertinentes à archiver, le responsable de traitement doit prévoir, à cet effet, une base de données d’archives dédiée ou une séparation logique dans la base de données active. Cette séparation logique est assurée par la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions, comme par exemple les personnes du service juridique, puissent y accéder. Au-delà de ces durées de conservation des données versées en archives intermédiaires, les données personnelles doivent être supprimées.
La formation restreinte rappelle que la collecte par la société SERGIC des données personnelles des candidats a pour finalité l’attribution de logements. Dès lors que cette finalité est atteinte, les données personnelles des candidats n’ayant pas accédé à la location ne peuvent plus être conservées au-delà de trois mois, au sein de la base de données active et au-delà faire l’objet d’une séparation logique voire d’un archivage intermédiaire.
La formation restreinte observe que la société a indiqué à la délégation de la CNIL lors de la mission de contrôle du 13 septembre 2018 que les documents transmis par les candidats n’ayant pas accédé à la location, c’est-à-dire ceux pour lesquels la poursuite du traitement n’était plus justifiée, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données. Elle note encore que, dans ses observations en défense, la société a produit un document dont il ressort que sa politique en matière de conservation des données des clients et prospects n’a été formalisée qu’en novembre 2018. Enfin, au cours de la séance du 11 avril 2019, la société a indiqué que la mise en place d’une solution d’archivage des documents en question était en cours de réalisation.
Selon le Conseil d’Etat, Il résulte de l’instruction, d’une part, que la finalité pour laquelle les données à caractère personnel des candidats à la location sont conservées et traitées par la société SERGIC est le suivi des demandes de location d’un bien immobilier et, d’autre part, que les missions de contrôle de la CNIL ont révélé que les documents transmis par les personnes désirant louer un bien immobilier étaient conservées, sans archivage intermédiaire, pour tenir compte du délai de prescription de six ans des actions en discrimination. Dès lors, en estimant que la durée de conservation des données excédait dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, sans qu’aucune solution d’archivage intermédiaire, qui aurait permis de conserver les données nécessaires à la gestion d’un éventuel contentieux, n’ait été mise en place, la formation restreinte de la CNIL n’a pas méconnu les dispositions du e) du 1° de l’article 5 du RGPD, ni entaché sa délibération d’erreur manifeste d’appréciation ni d’insuffisance de motivation.
5. Sur la sanction
Dans ces conditions, selon le Conseil d’Etat, il résulte de l’instruction que les manquements constatés par la formation restreinte de la CNIL consistaient d’une part, en un défaut de sécurité du site http://www.sergic.com permettant, comme il a été dit au point 1, à des tiers non autorisés d’accéder, au moyen d’une simple modification de liens URL, à plusieurs centaines de milliers de documents téléchargés par plusieurs dizaines de milliers de candidats à la location de logement, tels que des bulletins de salaires, des avis d’imposition, des justificatifs d’identité ou des actes de mariage ou de divorce, qui contiennent des données à caractère personnel lesquelles, sans être nécessairement des données sensibles au sens du RGPD, concernent la vie privée des personnes, et d’autre part, en une conservation de ces données pendant une durée excessive au regard de la finalité poursuivie par leur traitement. Eu égard à la nature et à la gravité des manquements constatés qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’authentification des utilisateurs du traitement, ainsi que par des mesures d’archivage, aux moyens dont disposait la société pour y remédier et au délai avec lequel elle a apporté les mesures correctrices nécessaires, la formation restreinte de la CNIL n’a pas infligé à la société SERGIC une sanction disproportionnée en prononçant à son encontre une sanction pécuniaire d’un montant de 400 000 euros, représentant moins de 1% de son chiffre d’affaires pour l’année 2017 et 4% du plafond des sanctions, accompagnée, pour en assurer le caractère dissuasif et informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés, d’une sanction complémentaire consistant en sa publication pendant une durée de deux ans avant son anonymisation.