Le célèbre site d'annonces immobilières De Particulier à Particulier (PAP) a été sanctionné par la CNIL, d'une amende de 100 000 euros. La plateforme est coupable de nombreux manquements relatifs à la sécurité et à la conservation des données.
La Commission nationale de l'informatique et des libertés (CNIL) a tapé du poing sur la table. Mardi 13 février, le gendarme des données a annoncé avoir infligé à la société PAP, éditrice du site pap.fr, « De Particulier à Particulier », une amende de 100 000 euros. La CNIL a relevé plusieurs manquements au RGPD, le règlement européen sur la protection des données, en l'épinglant pour une politique de confidentialité trop laxiste et imprécise, ainsi qu'un défaut de sécurisation des mots de passe des utilisateurs. Tous les détails.
Des mensonges sur la durée de conservation des données des utilisateurs
Il est l'un des plus gros sites d'annonces immobilières français, avec 3 millions de visites par mois, selon les chiffres fournis par Similarweb. Pourtant, PAP a été sanctionnée par la CNIL pour quatre manquements majeurs au RGPD.
Le premier porte sur la durée de conservation des données. Pour l'autorité, la conservation des données de comptes clients ayant réalisé des opérations depuis le site pour une durée de 10 ans n'était pas suffisamment bien justifiée. Parmi les données conservées, PAP gardait bien au chaud les nom, prénom(s), numéro de téléphonique et adresse e-mail de ces clients.
Pire encore, PAP avait annoncé conserver les données des clients utilisant des fonctionnalités gratuites du site pendant une période moindre, 5 ans exactement. Mais la CNIL s'est aperçue que l'entreprise les conservait bien au-delà de cette période.
Une sécurité défaillante, qui exposait PAP à des risques de fuites et de cyberattaques
Autre manquement constaté, celui attenant à la politique de confidentialité, considérée comme « incomplète et imprécise » par la CNIL. Par exemple, PAP ne mentionnait pas les bonnes durées de conservation de données et ne fournissait pas suffisamment d'informations, sur leur droit d'introduire une réclamation auprès de la CNIL, entre autres.
Le site De Particulier à Particulier avait conclu un contrat avec un sous-traitant, pour le traitement des données personnelles, qui ne comportait pas les mentions requises par le RGPD. C'est son troisième manquement.
Enfin, la CNIL a estimé que PAP ne protégeait pas suffisamment bien les données des utilisateurs. « Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes », souligne l'autorité. Cette dernière a aussi pointé du doigt la conservation en clair des mots de passe des utilisateurs, associés à leur adresse e-mail et leurs identifiants. La société était ainsi directement exposée à des risques de fuites et de cyberattaques. Mais la CNIL est passée par là.
Source : CNIL
