La CNIL impose une amende à PAP pour non-respect de la RGPD

La CNIL impose une amende à PAP pour non-respect de la RGPD

Le

Le 31 janvier 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a marqué les esprits en infligeant une amende significative de 100 000 euros à la société PAP, éditrice du célèbre site immobilier pap.fr. Cette décision fait suite à des contrôles rigoureux effectués en mars et avril 2022, révélant plusieurs manquements graves aux obligations imposées par le Règlement Général sur la Protection des Données (RGPD).

Délibération SAN-2024-002 du 31 janvier 2024

PAP, plateforme privilégiée pour les annonces immobilières entre particuliers, a été épinglée principalement pour deux raisons : la durée de conservation excessive des données personnelles et des lacunes significatives dans la sécurisation de ces données.

Les infractions relevées

La CNIL a identifié un premier manquement relatif à la conservation des données. PAP avait établi une durée de conservation de dix ans pour les données des comptes clients ayant souscrit à des services payants, et de cinq ans pour ceux utilisant des services gratuits. Ces durées, largement supérieures à ce que le code de la consommation justifie, concernaient des informations sensibles telles que le contenu des annonces, les noms, prénoms, numéros de téléphone, et adresses électroniques des clients. Pire encore, pour les services gratuits, la société ne respectait pas même cette limite auto-imposée, conservant des données au-delà de cinq ans.

Un second manquement concerne l’obligation d’informer correctement les personnes sur la gestion de leurs données. La politique de confidentialité du site s’est révélée incomplète et imprécise, manquant de clarté sur les bases juridiques des traitements de données, les catégories de sous-traitants impliqués, ou encore les droits des personnes à porter réclamation auprès de la CNIL.

Logiciel RGPD

La relation entre PAP et ses sous-traitants a également été pointée du doigt. Un contrat liant la société à l’un d’eux ne contenait pas les mentions obligatoires exigées par le RGPD, mettant en lumière une gestion des données personnelles à la fois laxiste et désorganisée.

La sécurité des données, un échec flagrant

Enfin, et peut-être le plus préoccupant, est le manquement à l’obligation d’assurer la sécurité des données personnelles. La CNIL a relevé une gestion des mots de passe particulièrement faible, tant pour les utilisateurs inscrits que pour ceux accédant temporairement à des annonces sans compte. La conservation en clair des mots de passe, associés aux identifiants et adresses électroniques, représentait une faille de sécurité majeure, mettant les données des utilisateurs à risque d’attaques informatiques et de fuites.

Une coopération partielle pour limiter les dégâts

Malgré la gravité des manquements, le montant de l’amende a été calculé en tenant compte de la coopération de PAP avec la CNIL. La société a pris des mesures pour se conformer à certains points de la réglementation durant la procédure, bien que ces efforts aient été jugés insuffisants pour compenser pleinement l’ensemble des infractions.

Cette sanction, prononcée en collaboration avec les autorités de contrôle européennes dans le cadre du guichet unique, rappelle l’importance cruciale du respect du RGPD. Elle souligne également la vigilance accrue des régulateurs face aux pratiques de conservation et de sécurisation des données personnelles par les entreprises opérant en Europe.

Pour PAP, cette amende représente non seulement une pénalité financière mais aussi un signal d’alarme quant à la nécessité d’adopter des pratiques conformes au RGPD pour protéger la confidentialité et la sécurité des données de ses utilisateurs. Les entreprises doivent percevoir cet événement comme un rappel impératif à l’ordre, soulignant l’importance d’une gestion rigoureuse des données personnelles dans un environnement numérique de plus en plus scruté.

Pour approfondir

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD