La CNIL a fondé la sanction sur deux motifs: l'absence de mesures de sécurité élémentaires et un stockage excessif des données. En ce qui concerne le premier, les documents sensibles des utilisateurs téléchargés par les candidats à la location (y compris les cartes d'identité, les cartes de santé, les avis fiscaux, les certificats émis par la caisse d'allocations familiales, les jugements de divorce, les extraits de compte) étaient accessibles en ligne sans aucune procédure d'authentification. Bien que la vulnérabilité soit connue de l'entreprise depuis mars 2018, elle n'a finalement été résolue qu'en septembre 2018. De plus, l'entreprise a conservé la documentation fournie par les candidats plus longtemps que nécessaire. La CNIL a pris en compte notamment la gravité de la violation (manque de vigilance dans la prise en compte de la vulnérabilité et le fait que les documents révélaient des aspects très intimes de la vie des utilisateurs), la taille de l'entreprise et sa situation financière.