Le 31 janvier 2024, la CNIL a infligé une amende de 100 000 euros à la société PAP, éditrice du site pap.fr. Cette sanction doit être considérée comme une mise en garde essentielle pour toutes les entreprises, soulignant les risques liés à une gestion laxiste des données.

Contexte

PAP occupe une place prépondérante dans le secteur immobilier grâce à son site pap.fr, offrant aux utilisateurs la possibilité de consulter et de publier des annonces immobilières. La portée internationale du site, avec des visiteurs dans plusieurs États membres de l’Union européenne ainsi qu’en Norvège, a attiré l’attention des autorités de contrôle, notamment la CNIL.

Les faits : contrôles, manquements, et sanctions

En mars et avril 2022, la CNIL a mené deux contrôles approfondis de la société PAP, mettant en lumière des failles majeures dans la gestion des données. Ces contrôles ont abouti à une amende significative de 100 000 euros, une somme conséquente destinée à inciter à la conformité avec les réglementations en vigueur.

Analyse détaillée des manquements reprochés

Durée de conservation abusive

PAP a été sanctionnée pour avoir conservé de manière excessive les données de ses clients payants pendant dix ans, sans aucune justification valable. Cette approche met en péril la confidentialité des informations, contournant ainsi les principes fondamentaux de la protection des données, notamment l’article 5 du RGPD. 

Attention ! La CNIL condamne fréquemment des entreprises qui ne respectent pas les dispositions du RGPD en matière de durée de conservation ! Pour en savoir plus, consultez notre article : NS CARDS FRANCE sanctionné par la CNIL : 105 000€ d’amende pour manquements au RGPD.

Manque d’informations

La politique de confidentialité de PAP a été pointée du doigt pour son caractère incomplet et imprécis. Cette absence de clarté compromet la confiance des utilisateurs en ne fournissant pas les informations nécessaires sur la manière dont leurs données sont collectées, traitées et protégées.

Ce qui aurait dû être mis en place :  Explications détaillées des bases juridiques, spécification des sous-traitants, mention du droit de porter plainte, et des durées de conservation précises.

Contrats de sous-traitance non conformes

Un manquement clé de PAP réside dans son contrat avec un sous-traitant, qui ne comportait pas toutes les mentions requises par le RGPD.

Ce qui aurait dû être mis en place : Un contrat exhaustif, répondant aux normes du RGPD, détaillant clairement les responsabilités et engagements du sous-traitant.

Sécurité insuffisante 

Les règles de sécurité des mots de passe et des références confidentielles de PAP ont été qualifiées d’insuffisamment robustes, entraînant une sanction conséquente. Cette faiblesse dans les mesures de sécurité expose les utilisateurs à des risques potentiels d’intrusion et met en évidence une négligence dans la protection adéquate des informations personnelles des utilisateurs.

Cet article pourrait également vous intéresser : RGPD et Transferts de Données pour les TPE/PME : Tout ce que vous devez savoir.

Une énième sanction de la CNIL pour des règles pourtant simples… 

La sanction infligée à PAP par la CNIL est une piqûre de rappel importante pour toutes les entreprises. La gestion des données doit être une priorité, avec une conformité rigoureuse aux normes de protection des données.

Les erreurs commises par PAP soulignent l’impératif de mettre en place des pratiques robustes pour éviter des conséquences financières et réputationnelles désastreuses.

La sécurité des données est non seulement une obligation légale, mais également une nécessité stratégique pour assurer la pérennité des entreprises.