La société PAP qui édite le site de petites annonces pap.fr, de Particulier à Particulier, devra s’acquitter d’une amende de 100 000 € infligée par la Cnil pour ne pas avoir respecté les obligations du RGPD en matière de durée de conservation des données et de sécurité des données. Le site pap.fr permet aux particuliers de consulter et de publier des annonces immobilières.
Deux contrôles menés en 2022
En mars et avril 2022, la Cnil a procédé à deux contrôles de la société. Des manquements ont été relevés concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données.
Pap.fr a manqué à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD). La société avait défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site. La Cnil estime que cette durée ne pouvait pas être justifiée par les dispositions du code de la consommation dont pap.fr se prévalait.
Les données conservées durant dix ans étaient le contenu des annonces, les nom et prénom, le numéro de téléphone et l’adresse électronique des clients. D’autre part, la société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site mais elle ne l’appliquait pas puisqu’elle conservait des données plus longtemps.
Une politique de confidentialité incomplète et imprécise
Autre manquement constaté, c’est l’obligation d’information des personnes (article 13 du RGPD). Sur son site web, la politique de confidentialité était incomplète et imprécise. Cette politique de confidentialité ne fournissait pas d’explications relatives aux bases juridiques indiquées. Elle ne précisait pas les catégories ou les sous-traitants avec lesquels elle travaillait. Elle n’indiquait pas le droit d’introduire une réclamation auprès de la Cnil. Elle mentionnait des durées de conservation des données inexactes.
D’autre part, la Cnil a constaté un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD). Un contrat conclu entre la société pap.fr et un sous-traitant ne comportait pas les mentions requises par le RGPD.
Dernier manquement constaté, il s’agit de l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes. Il en était de même pour les références confidentielles transmises par la société, après dépôt d’une annonce immobilière sur le site, aux utilisateurs qui ne détenaient pas de compte afin d’accéder à cette annonce.
Conservation en clair des mots de passe
De plus, la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données.
Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri. Ces défauts de sécurité exposaient les données à des risques d’attaques informatiques et de fuites.