[Lu, vu, entendu] Sanction : une société immobilière écope d'une amende de 14,5 millions d'euros prononcée par l'homologue allemand de la CNIL - Alcees - Cabinet de conseil en management de la sécurité des systèmes d'information (SSI)

Le 30 octobre 2019, la BfDI, le Commissaire à la protection des données et à la liberté d’information à Berlin (Allemagne), a sanctionné une société immobilière, la Deutsche Wohnen SE, d’une amende d’environ 14,5 millions d’euros, pour non-respect du règlement général sur la protection des données (RGPD).

Une défaillance dans le système d'archivage des données personnelles des locataires

D’une part, ce système d’archivage ne donnait pas la possibilité de vérifier si le stockage de la donnée était autorisé.
D’autre part, celui-ci n’offrait pas de possibilité d’effacement pour les données qui étaient devenues non nécessaires.
Les données concernées embarquaient des informations relatives à la situation personnelle et financière des locataires de la société telles que des copies de bulletins de salaire, de contrats de travail, de données fiscales et bancaires, de sécurité sociale et d’assurance maladie.

Des recommandations d'audits précédents qui n'avaient pas été mises en oeuvre avec succès

Un premier audit réalisé sur site en juin 2017, soit une année avant l’entrée en application du RGPD, avait permis d’identifier ces faiblesses dans le système d’archivage des données personnelles des locataires la Deutsche Wohnen SE.
Un deuxième audit réalisé en mars 2019, soit neuf mois après l’entrée en application du RGPD, avait permis de montrer que la Deutsche Wohnen SE n’était toujours pas en mesure de remédier aux failles de conformité constatées sur son système d’archivage.
L’autorité de contrôle ne pouvait toutefois pas prouver que des données personnelles avaient été consultées ou divulguées illégalement à des tiers.
Rappelons que l’effacement de données obsolètes ou leur collecte sur une base légale, constituent une exigence prévue à l’article 25 (protection des données depuis la conception) et dans une moindre mesure l’article 5 (principes relatifs au traitement des données personnelles) du RGPD.

Un calcul d'amende prenant en compte le chiffre d'affaires annuel de la société, mais aussi des faits aggravants et atténuants

Il est intéressant de noter tout d’abord, que la base de calcul de l’amende infligée par le contrôleur berlinois était à concurrence d’une sanction plancher de 2% du chiffre d’affaires annuel de la Deutsche Wohnen SE (autour de 1,4 milliards d’euros en 2018) à 28 millions d’euros et non pas à concurrence de 4% du chiffre d’affaires annuel de la société soit 57 millions d’euros.
Ensuite, l’amende infligée à 14, 5 millions d’euros a tenu compte du facteur suivant, considéré comme aggravant : stockage irrecevable de données personnelles de locataires pendant une longue période
Mais aussi du facteur suivant, considéré comme atténuant : coopération avec l’autorité de contrôle et implication dans la prise de mesure de remédiation à la situation.

Alcees votre partenaire dans la conformité au RGPD propose sans distinction de secteur d’activité, une gamme complète de solutions d’audit et de conseil aux TPE/PME, administrations et collectivités territoriales.

Notre accompagnement se fonde sur une connaissance approfondie de la réglementation et des normes de sécurité. Ainsi, nous proposons à nos clients des méthodes d’analyse de risques et des mesures de sécurité qui ont fait leur preuve : Ebios Risk Manager, ISO 31000, MEHARI, ISO 27001,…

Un service de Délégué à la Protection des Données (DPD ou DPO) externe vous est également proposé pour vous permettre de disposer d’un pilote de votre conformité au RGPD, qui en plus d’être indépendant, défendra vos intérêts auprès de l’autorité de surveillance avec un risque nul de conflit d’intérêt.

Il est toujours temps de demander une revue flash de conformité au RGPD. Ce service est gratuit, réalisé en un seul rendez-vous d’une heure ou deux avec un de vos services-métiers (ressources humaines, communication, informatique, marketing…), en direct live dans vos locaux. N’attendez plus pour éliminer vos risques numériques et votre facture.