Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2013
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2013
    Messages : 258
    Points : 7 638
    Points
    7 638
    Par défaut La CNIL inflige une amende de 400 000 € à une société immobilière
    La CNIL inflige une amende de 400 000 € à une société immobilière
    pour atteinte à la sécurité des données et non-respect des durées de conservation

    La Sergic, dont le siège est situé à Wasquehal, dans le Nord de la France, est une société spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Dans le cadre de ses activités, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier. Cette société vient d'être frappée par la Commission nationale informatique et libertés (CNIL), d'une amende de 400000 euros pour atteinte à la sécurité des données et non-respect des durées de conservation.

    Tout commence au mois d'août de l'année dernière, lorsque la CNIL avait été prévenue par un utilisateur du site internet de Sergic qu'il avait pu accéder à des données appartenant à d'autres utilisateurs. Apparemment, il suffisait de modifier légèrement l'url affichée dans le navigateur pour accéder ainsi aux données des candidats à la location. La CNIL a par la suite réalisé un contrôle en ligne le 7 septembre de la même année, ce qui a permis de constater que des documents comme des copies de cartes d’identité, de cartes Vitale, des avis d’imposition, des attestations délivrées par la caisse d’allocations familiales, des jugements de divorce, des relevés de compte ou encore d’identité bancaire, tous transmis par les candidats à la location, étaient librement accessibles, sans authentification préalable.

    Nom : Sergic (1).jpg
Affichages : 4657
Taille : 17,7 Ko

    La CNIL a immédiatement informé la société au sujet de ce défaut de sécurité. Seulement, suite à un contrôle effectué quelques jours plus tard et cette fois-ci dans les locaux de la société, la CNIL s'est rendue compte que la Sergic connaissait la vulnérabilité depuis mars 2018, mais avait tardé à la corriger, n'apportant de solution complète qu'au 17 septembre 2018, soit 06 mois plus tard. En plus du fait de n'avoir pas assuré la sécurité des données personnelles des utilisateurs de son site comme prévu par l’article 32 du RGPD, les investigations menées par la CNIL lui ont également permis de se rendre compte d'une autre faute commise par la Sergic.

    Il s'est avéré que la société conservait les données de ses candidats à la location sans limitation de durée. En temps normal, comme l'a rappelé la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, une fois que les logements ont été attribués, la Sergic était censée soit effacer ces données, soit les placer dans un archivage intermédiaire si leur conservation était nécessaire, pour des raisons légales par exemple. Pour se prononcer sur la sanction à infliger, la formation restreinte a pris en compte la gravité du manquement de la Sergic, ainsi que la taille de la société, et c'est dans un communiqué officiel que la décision a été rendue publique le 06 juin dernier.

    Source : CNIL

    Et vous ?

    Qu'en pensez-vous ?
    Comment peut-on expliquer cette négligence de la part de la Sergic ?
    Qu'est-ce qui pourrait expliquer que la résolution de cette vulnérabilité ait pû prendre 06 mois à la Sergic ?

    Voir aussi :

    Violations de données personnelles : la CNIL dresse un premier bilan chiffré quatre mois après l'entrée en application du RGPD
    La CNIL dévoile son plan d'action et sa stratégie de contrôle pour 2019 l'accent sera mis sur l'accompagnement des pro dans l'application du RGPD
    La CNIL publie une extension pour suivre l'état d'avancement et l'effectivité du droit au déréférencement de données sensibles

  2. #2
    Membre actif Avatar de zaza576
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2013
    Messages
    164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2013
    Messages : 164
    Points : 254
    Points
    254
    Par défaut
    Shay !

    Préparez-vous entreprises, à subir mon courroux :-)
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    function googleIsYourF*ck*ngFriend(String url, String maQuestion){
        goTo(url);
        reponse = find(maQuestion);
        if(isAcceptable(reponse)){
            clickOn(By.xpath("//button[@id='resolvedButton']"));
        }
        sendMessage("Merci");
    }
    
    googleIsYourF*ck*ingFriend("http://www.google.fr", "ma question");

  3. #3
    Membre régulier
    Profil pro
    Inscrit en
    janvier 2008
    Messages
    84
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2008
    Messages : 84
    Points : 100
    Points
    100
    Par défaut
    Il faut voir comment fonctionne les sociétés, petites ou grandes d'ailleurs, peu de moyen pour l'informatique, notion très vague de la vie privée ou de la durée de retention des données.
    La dernière fois j'ai alarmé 5x un client à ce propos car il pensait (in)justement que parce qu'on lui avait donné un email / numéro de téléphone il pouvait l'utiliser , le partager et l'exploiter comme il voulait.

    Trop peu de personnes sont qualifiés pour ce genre de "métier" qui connaissent ce qui est bien, pas bien, etc.
    Il faudrait que le gouvernement sorte un document assez clair avec tous les points pratiques pour les sociétés justement et peut être un pour les particulier qu'ils montrent leur droit pour apporter un peu plus de pression sur les sociétés aussi.

    Mais l'article ne m'étonne pas : 6 mois, ...

  4. #4
    Membre éclairé Avatar de 4sStylZ
    Homme Profil pro
    Null
    Inscrit en
    novembre 2011
    Messages
    283
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Null
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 283
    Points : 884
    Points
    884
    Par défaut
    6 mois c’est beaucoup pour corriger une telle faille.

    Mais parfois t’arrive sur un système en tant que dev / presta / whatever et tu te rend compte qu’il y’en a 15 des 0 days de ce genre… Tu les signale, on te donne ou non le budget pour corriger la chose, mais ça prend pas 2 minutes, tu doit parfois refondre des pans complet du logiciel.

  5. #5
    Membre chevronné

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 755
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 755
    Points : 1 889
    Points
    1 889
    Par défaut
    Bien fait pour leur pomme . Depuis le temps qu'on en parle en plus du RGPD ...

  6. #6
    Membre régulier
    Homme Profil pro
    automatisme
    Inscrit en
    octobre 2012
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Mayenne (Pays de la Loire)

    Informations professionnelles :
    Activité : automatisme

    Informations forums :
    Inscription : octobre 2012
    Messages : 42
    Points : 82
    Points
    82
    Par défaut
    +1
    Ils auraient pu mettre leur site hors-ligne, le temps de régler ces problèmes. Ils ne l'ont pas fait (sûrement pour des questions d'argent) et ils se sont faient avoir. Ils ont joué et ils ont perdu.

  7. #7
    Membre expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    1 785
    Détails du profil
    Informations personnelles :
    Âge : 49
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 1 785
    Points : 3 000
    Points
    3 000
    Par défaut
    j'ai toujours cru que c'etait une legende, le fait d'envoyer des agens dans les locaux
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

  8. #8
    Membre régulier Avatar de tony76
    Homme Profil pro
    Déeloppeur pour le plaisir....
    Inscrit en
    avril 2014
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Déeloppeur pour le plaisir....

    Informations forums :
    Inscription : avril 2014
    Messages : 87
    Points : 76
    Points
    76
    Par défaut
    400 000 € et pourquoi pas 1 Milliard non mais vraiment

    cette union européenne c'est vraiment de la d'aube.

    justice à 2 vitesses, et la sécurité social ou un autre service de paiement qui à envoyer un fichier avec 3000 personnes et leur info elle va prendre combien ?
    Tout se sait un jour, il suffit de l'apprendre !

  9. #9
    Membre habitué
    Profil pro
    Développeur informatique
    Inscrit en
    juin 2002
    Messages
    241
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juin 2002
    Messages : 241
    Points : 147
    Points
    147
    Par défaut
    Nul n'est censé ignorer la loi... même quand elle est incompréhensible.
    Qui peut se venter d'être certain à 100% d'être conforme pour le RGPD ?
    La majorité des professionnels voudrait bien se mettre en conformité si on prenait la peine de leur expliquer précisément ce qui doit être fait.
    Sanctionner aveuglément ne mène à rien, même si dans le cas présent il y a visiblement eu une grosse négligence qui méritait un rappel à l'ordre. Mais 400 000€ ???

Discussions similaires

  1. La CNIL inflige une amende record de 50 millions d'euros à Google
    Par Stéphane le calme dans le forum Actualités
    Réponses: 49
    Dernier message: 28/01/2019, 10h36
  2. Réponses: 26
    Dernier message: 15/01/2018, 00h09
  3. La CNIL prononce une amende de 100 000 euros à l'encontre de Google
    Par Gordon Fowler dans le forum Actualités
    Réponses: 229
    Dernier message: 23/03/2011, 19h38
  4. Réponses: 23
    Dernier message: 29/06/2009, 17h13
  5. P2P : 2 millions de dollars d'amende infligée à une mère de famille américaine
    Par Pierre Louis Chevalier dans le forum Actualités
    Réponses: 0
    Dernier message: 21/06/2009, 08h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo