La clémence envers les PME est terminée. La CNIL a infligé début mai à Sergic, un spécialiste de l’immobilier, une sanction de 400 000 €, soit l’équivalent de 0,5 % de son chiffre d’affaires (le taux maximal peut atteindre 4 % ou 20 M€). Suite à la plainte d’un utilisateur du site de cette société, la CNIL a constaté l’absence de procédure d’authentification, « alors qu’il s’agissait d’une mesure élémentaire à prévoir ». Sergic a ainsi manqué à l’obligation de sécurité des données personnelles (article 32 du RGPD). La CNIL a aussi constaté que le spécialiste de l’immobilier conservait indéfiniment les données alors que leur durée de conservation « doit être déterminée en fonction de la finalité du traitement », avant suppression ou archivage en cas d’obligation légale. La CNIL a par ailleurs décidé de rendre publique la sanction afin de tenir compte « de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes ».