Durée de conservation et sécurité des données : la CNIL sanctionne la société PAP d’une amende de 100 000 euros

Le contexte

PAP est une société qui édite le site pap.fr permettant aux particuliers de consulter et de publier des annonces immobilières.

En mars et avril 2022, la CNIL a procédé à deux contrôles de la société. Lors de ses investigations, elle a relevé des manquements concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 100 000 euros au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec les autorités de contrôle européennes concernées* dans le cadre du guichet unique, le site web de PAP ayant des visiteurs dans plusieurs États membres de l’Union européenne ainsi qu’en Norvège.

Le montant de cette amende a été déterminé au regard des manquements retenus, de la coopération de la société et des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur certains manquements qui lui étaient reprochés.

* Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et la Norvège en tant qu’Etat membre de l’Espace économique européen.

Les manquements sanctionnés

Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)

La société avait défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site, sans que cette durée puisse être justifiée par les dispositions du code de la consommation dont elle se prévalait. Il s’agissait du contenu des annonces, des nom et prénom, du numéro de téléphone et de l’adresse électronique des clients. Elle avait également défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, sans pour autant l’appliquer puisqu’elle conservait des données plus longtemps.  

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

Sur son site web, la société informait les personnes au moyen d’une politique de confidentialité incomplète et imprécise :

• en ne fournissant pas d’explications relatives aux bases juridiques indiquées,
• en ne précisant pas les catégories ou les sous-traitants avec lesquels elle traitait,
• en n’indiquant pas le droit d’introduire une réclamation auprès de la CNIL,
• et en mentionnant des durées de conservation des données inexactes.

Un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)

Un contrat conclu entre la société et un sous-traitant ne comportait pas les mentions requises par le RGPD.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes. Il en était de même pour les références confidentielles transmises par la société, après dépôt d’une annonce immobilière sur le site, aux utilisateurs qui ne détenaient pas de compte afin d’accéder à cette annonce.

En outre, la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données.

Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

Ces défauts de sécurité exposaient les données à des risques d’attaques informatiques et de fuites.