Le 28 mai 2019, la formation restreinte de la CNIL a prononcé une nouvelle sanction de 400 000 € à l’encontre d’une société de promotion immobilière dénommée « SERGIC ». Il a été tenu compte de la taille de la société et de sa surface financière, afin de fixer le montant infligé à son encontre.
La CNIL a reçu une plainte en août 2018, suite à cela, il a été découvert que la procédure d’authentification des utilisateurs du site web de la société faisait défaut. Dès lors, ceci a été considéré comme un manquement à l’obligation de préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 32 du RGPD.
Ce manquement a été aggravé d’une part, compte tenu de la nature des données rendues accessibles (telles que des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, de relevés de compte, d’identité bancaire…), et d’autre part, par le manque particulier de diligence de la société dans la mise en place des mesures curatives.
En dernier lieu, il a été constaté par la formation restreinte que SERGIC conservait sans limitation de durée, et au-delà du nécessaire, l’ensemble des documents transmis par les candidats.