Accueil / fil d'actualité / Le site de petites annonces PAP.fr conserve trop longtemps ses données, sanction

L’actualité de la transformation

Le site de petites annonces PAP.fr conserve trop longtemps ses données, sanction

La conservation et la sécurité des données non conformes au RGPD

Les internautes ont également lu

La société PAP qui édite le site de petites annonces pap.fr, de Particulier à Particulier, devra s’acquitter d’une amende de 100 000 € infligée par la Cnil pour ne pas avoir respecté les obligations du RGPD en matière de durée de conservation des données et de sécurité des données. Le site pap.fr permet aux particuliers de consulter et de publier des annonces immobilières.

Deux contrôles menés en 2022

En mars et avril 2022, la Cnil a procédé à deux contrôles de la société. Des manquements ont été relevés concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données.

La rédaction vous propose par secteur d'activité :

Luxe
Banque
Assurance
Transport
Santé

Pap.fr a manqué à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD). La société avait défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site. La Cnil estime que cette durée ne pouvait pas être justifiée par les dispositions du code de la consommation dont pap.fr se prévalait.


Les données conservées durant dix ans étaient le contenu des annonces, les nom et prénom, le numéro de téléphone et l’adresse électronique des clients. D’autre part, la société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site mais elle ne l’appliquait pas puisqu’elle conservait des données plus longtemps.  

La Cnil a relevé 4 manquements au RGPD chez la société PAP (source Cnil)



Une politique de confidentialité incomplète et imprécise


Autre manquement constaté, c’est l’obligation d’information des personnes (article 13 du RGPD). Sur son site web, la politique de confidentialité était incomplète et imprécise. Cette politique de confidentialité ne fournissait pas d’explications relatives aux bases juridiques indiquées. Elle ne précisait pas les catégories ou les sous-traitants avec lesquels elle travaillait. Elle n’indiquait pas le droit d’introduire une réclamation auprès de la Cnil. Elle mentionnait des durées de conservation des données inexactes.

Newsletter La Revue du Digital

D’autre part, la Cnil a constaté un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD). Un contrat conclu entre la société pap.fr et un sous-traitant ne comportait pas les mentions requises par le RGPD.

Dernier manquement constaté, il s’agit de l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes. Il en était de même pour les références confidentielles transmises par la société, après dépôt d’une annonce immobilière sur le site, aux utilisateurs qui ne détenaient pas de compte afin d’accéder à cette annonce.

Conservation en clair des mots de passe

De plus, la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données.

Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri. Ces défauts de sécurité exposaient les données à des risques d’attaques informatiques et de fuites.

FacebookXEmailLinkedIn

Et vous, qu’en pensez-vous ?

Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.

Je réagis à cet article

Top lectures en ce moment

L’actualité de la transformation

Dossier

L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz

Dossier exclusif
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités

Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités

Saur, spécialiste de la distribution d’eau potable,  fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…

je lis l’article
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie

Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie

Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …

je lis l’article
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA

Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA

GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…

je lis l’article

Vous, qu’en pensez-vous ?

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Newsletter