La CNIL vient d’indiquer avoir prononcé une sanction de 100 000 euros à l’encontre de la société PAP qui édite le site pap.fr (De Particulier à Particulier), notamment pour ne pas avoir respecté ses obligations en matière de durée de conservation des données et de sécurité des données.
Lors d’investigations concernant le site d’annonces immobilières remontant à mars et avril 2022, la CNIL a relevé des manquements concernant « les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données ».
Problème de durée de conservation de données
Conserver 10 ans les données de certains comptes clients (contenu des annonces, nom et prénom, numéro de téléphone et adresse électronique des clients) ayant recours à des prestations payantes du site, c’est trop estime la CNIL. Par ailleurs, l’autorité relève que la société avait également défini une durée de conservation de 5 ans pour les données des utilisateurs ayant recours à des services gratuits du site, « sans pour autant l’appliquer puisqu’elle conservait des données plus longtemps. »
Des risques d’attaques informatiques et de fuite
En matière de sécurité, les règles de complexité des mots de passe des comptes des utilisateurs du site étaient « insuffisamment robustes« . Il en était de même pour les références confidentielles transmises par la société, après dépôt d’une annonce immobilière sur le site, aux utilisateurs qui ne détenaient pas de compte afin d’accéder à cette annonce.
En outre, « la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données. » Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri. Pour la CNIL, « ces défauts de sécurité exposaient les données à des risques d’attaques informatiques et de fuites. »
La Cnil relève aussi un manquement à l’obligation d’information des personnes.
