Des fiches de paie, des avis d'imposition, des cartes d'identité... En tout, des milliers de documents ont été mis en accès libre sur le site de la Sergic en raison d'un défaut de sécurité. L'entreprise a été condamnée par la CNIL à 400 000 eruos d'amende.
La SERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, quatrième admistrateur de biens immobiliers, d'après Le Monde, et basé à Wasquehal dans la métropole lilloise, vient d'être condamnée.
En cause, un défaut de sécurité qui a permis un accès libre aux documents fournis par des locataires pour des demandes de logements : des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Tout a commencé "en août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable"., explique la Commission Nationale de l'Informatique et des Libertés (CNIL) sur son site.
Avec cette faille de sécurité la CNIL a pu récupérer 4000 dossiers. Quand elle est intervenue dans la société, elle s'est rendue compte que la Sergic avait connaissance de ce problème depuis mars 2018 et n'a rétabli les choses qu'en septembre. La commission a considéré que 6 mois pour intervenir, était un délais trop long.
Par ailleurs, la CNIL "a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements." D'où la sanction de 400 000 euros.
Nous n'avons pas réussi à joindre le service communication de la société mais cette dernière a indiqué au journal Le Monde, qu’il s’agit d’un « incident de sécurité survenu en période estivale et qui n’a causé aucun préjudice, puisque aucune utilisation malveillante des données n’a été signalée ».
