La CNIL (Commission nationale de l’informatique et des libertés) a sanctionné un gestionnaire immobilier, coupable de na pas avoir (suffisamment) sécurisé les données personnelles de ses clients, au regard du RGPD, le Règlement général européen sur la protection des données personnelles. 

Après la bienveillance et la pédagogie, voici venu le temps des sanctions.

Et en ce début du mois de juin, la CNIL a décidé de frapper fort en infligeant une amende de 400 000 euros à Sergic, une société spécialisée dans l’immobilier.

Prévenue par un lanceur d’alerte en août 2018 (soit trois mois après l’entrée en vigueur officielle du RGPD (le Règlement général européen sur la protection des données personnelles), la CNIL a constaté lors d’un contrôle (mis en ligne le 7 septembre 2018), que la société Sergic ne protégeait pas suffisamment les les données personnelles de ses clients et de ses anciens clients.

Cette société, dont le siège se trouve à Wasquehal (Nord), a des activité de gestionnaire d’immobilier, de syndic de copropriété, de locations de vacances et d’immobilier d’entreprise.

Cartes Vitale et attestations de CAF

Sergic laissait en accès, presque libre (car il suffisait pour y accéder de modifier simplement l’URL, c’est-à-dire l’adresse à consulter, inscrite dans un navigateur internet) des données de clients telles que des copies de cartes d’identité, de cartes Vitale, des jugements de divorce ou bien encore des attestations de la CAF.

Pour Sergic, s’il y a bien eu un « incident de sécurité », celui-ci n’a en revanche donné lieu à « aucune utilisation malveillante des données » concernées.

Cependant la CNIL a pu établir que la société avait connaissance de cette faille de sécurité depuis mars 2018 et ne l’avait corrigée que le 17 septembre 2018.

De plus, Sergic conservait les données de certains de ses clients « sans limitation de durée », alors même qu’elle était censée, selon les cas, soit les effacer, soit les placer dans un archivage intermédiaire si leur conservation devait s’avérer nécessaire, par exemple pour des raisons légales.

Selon la CNIL, dont la décision est consultable ici, la société Sergic a donc « manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD.

A noter que, pour s’initier au RGPD et éviter ainsi tout dérapage (notamment financier car les amendes liées au non-respect du RGPD peuvent aller jusqu’à 4% du chiffre d’affaires des contrevenants), la CNIL a mis en ligne un MOOC, accessible ici jusqu’au mois de septembre 2021.

En suivant l’intégralité de ce MOOC, les participants pourront en outre obtenir
une attestation délivrée par la CNIL.

[wpedon id= »26112″] Vous avez aimé cette information? Partagez-là avec vos amis, votre réseau ou votre communauté. Cet article vous a été utile? Il vous a rendu service? NewZilla.NET a besoin de VOUS. Vous pouvez nous aider en faisant un don sécurisé à partir de 1 euro. Cela mérite une explication. On vous dit tout ICI. Merci pour votre soutien et pour votre fidélité à NewZilla.NET.

Officiellement la rançon demandée (en bitcoins) par les cyber-criminels qui, depuis un mois, s’acharnent sur les systèmes informatiques de la ville de Baltimore (Maryland / Etats-Unis), n’était « que » de 100 000 dollars.

Mais au final, la facture sera bien plus lourde.

Henry Raymond, le directeur financier de la ville estime ainsi déjà à 8 millions de dollars le préjudice subi en raison des différents revenus reportés, impossibles à collecter ou perdus par la ville.

En outre, Baltimore, dont les ordinateurs des employés municipaux sont toujours bloqués, a également du acheter pour un million de dollars de matériel informatique supplémentaire auprès de son fournisseur habituel, le groupe Dell.

A cela vient s’ajouter le recrutement pour une durée indéterminée d’informaticiens dont la double mission consistera à supprimer tous les logiciels malveillants des postes de travail concernés mais aussi d’oeuvrer sur le long terme à la protection des systèmes d’information de la ville.

Au bout du compte, pour Baltimore le manque à gagner occasionné par cette cyberattaque pourrait flirter avec les 20 millions de dollars.

Des compteurs intelligents, pas si intelligents

Outre les employés municipaux, les usagers ont également été touché notamment par la paralysie de leurs compteurs d’eau intelligents (enfin, qui en l’espèce n’avaient semble-t-il d’intelligent que le mot…).

La restauration des données est aujourd’hui particulièrement fastidieuse.

Chacun des 10 000 employés municipaux de la ville devant par exemple se présenter en personne pour que lui soient communiqués ses nouveaux identifiants réseau et d’accès à son compte de courrier électronique.

Reste une question: qui est à l’origine de ce méfait? Et s’agit-il de la répétition d’une cyberattaque de plus grande ampleur qui pourrait toucher prochainement une ou plusieurs autres villes des Etats-Unis?