Annonces immobilières et RGPD : Le site pap.fr écope d’une amende de 100 000 euros

Le site pap.fr a été sanctionné par la Commission Nationale de l’Informatique et des Libertés (Cnil) pour des manquements sur les données personnelles.

ogo de la CNIL, Commission Nationale Informatique et Libertés, sur l'écriteau à l'entrée de son siège à Paris

© adobestock

Par MySweetImmo avec AFP, le 14 février 2024, mis à jour le 18 février 2024
 0
1 - 4 manquements au Règlement européen de protection des données (RGPD)2 - 100 000 euros d'amende pour PAP

Le site pap.fr (de particulier à particulier), spécialisé dans la vente et la location immobilières, a écopé d’une amende de 100.000 euros de la Commission nationale informatique et libertés (Cnil) pour des manquements concernant les données personnelles.

4 manquements au Règlement européen de protection des données (RGPD)

En mars et avril 2022, la CNIL a procédé à deux contrôles de la société. « Lors de ses investigations, elle a relevé des manquements concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données.« 

Quatre manquements au Règlement européen de protection des données sont relevés et concernent aussi un défaut d’information des utilisateurs et l’absence de mentions requises par le RGPD dans un contrat avec un sous-traitant.

Manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)

La société avait défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site, sans que cette durée puisse être justifiée par les dispositions du code de la consommation dont elle se prévalait. Il s’agissait du contenu des annonces, des nom et prénom, du numéro de téléphone et de l’adresse électronique des clients.

Elle avait également défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, sans pour autant l’appliquer puisqu’elle conservait des données plus longtemps.  

Manquement à l’obligation d’information des personnes (article 13 du RGPD)

Sur son site web, la société informait les personnes au moyen d’une politique de confidentialité incomplète et imprécise :

  • en ne fournissant pas d’explications relatives aux bases juridiques indiquées,
  • en ne précisant pas les catégories ou les sous-traitants avec lesquels elle traitait,
  • en n’indiquant pas le droit d’introduire une réclamation auprès de la CNIL,
  • et en mentionnant des durées de conservation des données inexactes.

Manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)

Un contrat conclu entre la société et un sous-traitant ne comportait pas les mentions requises par le RGPD.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes. Il en était de même pour les références confidentielles transmises par la société, après dépôt d’une annonce immobilière sur le site, aux utilisateurs qui ne détenaient pas de compte afin d’accéder à cette annonce.

En outre, la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données.

Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

À lire aussi

À lire aussi

100 000 euros d’amende pour PAP

La sanction a été infligée le 31 janvier à la société, « notamment pour ne pas avoir respecté ses obligations en matière de durée de conservation des données et de sécurité des données« , précise le gendarme de la vie privée en matière numérique dans un communiqué.

Ces défauts de sécurité exposaient les données à des risques d’attaques informatiques et de fuites.E

n conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 100 000 euros au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec les autorités de contrôle européennes concernées* dans le cadre du guichet unique, le site web de PAP ayant des visiteurs dans plusieurs États membres de l’Union européenne ainsi qu’en Norvège.

La Cnil indique que le montant de l’amende a été déterminé en prenant en compte « la coopération de la société et des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur certains manquements qui lui étaient reprochés« .

Référence juridique : Délibération SAN-2024-002 du 31 janvier 2024

*Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et la Norvège en tant qu’Etat membre de l’Espace économique européen.

Par MySweetImmo avec AFP
Région Votre avis S'abonner En continu Rechercher
La Sweet newsletter
Des idées. Des conseils. Des solutions