Le 31 janvier 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a marqué les esprits en infligeant une amende significative de 100 000 euros à la société PAP, éditrice du célèbre site immobilier pap.fr. Cette décision fait suite à des contrôles rigoureux effectués en mars et avril 2022, révélant plusieurs manquements graves aux obligations imposées par le Règlement Général sur la Protection des Données (RGPD).
Délibération SAN-2024-002 du 31 janvier 2024
PAP, plateforme privilégiée pour les annonces immobilières entre particuliers, a été épinglée principalement pour deux raisons : la durée de conservation excessive des données personnelles et des lacunes significatives dans la sécurisation de ces données.
Les infractions relevées
La CNIL a identifié un premier manquement relatif à la conservation des données. PAP avait établi une durée de conservation de dix ans pour les données des comptes clients ayant souscrit à des services payants, et de cinq ans pour ceux utilisant des services gratuits. Ces durées, largement supérieures à ce que le code de la consommation justifie, concernaient des informations sensibles telles que le contenu des annonces, les noms, prénoms, numéros de téléphone, et adresses électroniques des clients. Pire encore, pour les services gratuits, la société ne respectait pas même cette limite auto-imposée, conservant des données au-delà de cinq ans.
Un second manquement concerne l’obligation d’informer correctement les personnes sur la gestion de leurs données. La politique de confidentialité du site s’est révélée incomplète et imprécise, manquant de clarté sur les bases juridiques des traitements de données, les catégories de sous-traitants impliqués, ou encore les droits des personnes à porter réclamation auprès de la CNIL.
La relation entre PAP et ses sous-traitants a également été pointée du doigt. Un contrat liant la société à l’un d’eux ne contenait pas les mentions obligatoires exigées par le RGPD, mettant en lumière une gestion des données personnelles à la fois laxiste et désorganisée.
La sécurité des données, un échec flagrant
Enfin, et peut-être le plus préoccupant, est le manquement à l’obligation d’assurer la sécurité des données personnelles. La CNIL a relevé une gestion des mots de passe particulièrement faible, tant pour les utilisateurs inscrits que pour ceux accédant temporairement à des annonces sans compte. La conservation en clair des mots de passe, associés aux identifiants et adresses électroniques, représentait une faille de sécurité majeure, mettant les données des utilisateurs à risque d’attaques informatiques et de fuites.
Une coopération partielle pour limiter les dégâts
Malgré la gravité des manquements, le montant de l’amende a été calculé en tenant compte de la coopération de PAP avec la CNIL. La société a pris des mesures pour se conformer à certains points de la réglementation durant la procédure, bien que ces efforts aient été jugés insuffisants pour compenser pleinement l’ensemble des infractions.
Cette sanction, prononcée en collaboration avec les autorités de contrôle européennes dans le cadre du guichet unique, rappelle l’importance cruciale du respect du RGPD. Elle souligne également la vigilance accrue des régulateurs face aux pratiques de conservation et de sécurisation des données personnelles par les entreprises opérant en Europe.
Pour PAP, cette amende représente non seulement une pénalité financière mais aussi un signal d’alarme quant à la nécessité d’adopter des pratiques conformes au RGPD pour protéger la confidentialité et la sécurité des données de ses utilisateurs. Les entreprises doivent percevoir cet événement comme un rappel impératif à l’ordre, soulignant l’importance d’une gestion rigoureuse des données personnelles dans un environnement numérique de plus en plus scruté.
Pour approfondir
- La procédure de sanction
- Les durées de conservation des données
- Informer les personnes
- Travailler avec un sous-traitant
- Sécurité des données
- Mots de passe
- Le RGPD Expliqué : Un Guide Complet pour les Entreprises(S’ouvre dans un nouvel onglet)
- Les amendes RGPD continuent de pleuvoir(S’ouvre dans un nouvel onglet)
- Les CNILs européennes récoltent plus de 830 millions d’euros en 2022 grâce aux amendes RGPD(S’ouvre dans un nouvel onglet)
- Politique de Conservation des Données pour SPSTi(S’ouvre dans un nouvel onglet)
- Non-conformité Google : Google est-il conforme au RGPD ?(S’ouvre dans un nouvel onglet)
