Blog Données personnelles

La société PAP sanctionnée par la CNIL pour des manquements liés au non-respect des obligations en matière de durée de conservation des données et de sécurité des données

Dans une décision prise le 31 janvier 2024 et publié le 13 février 2024, la CNIL a condamné la société PAP, éditrice du site pap.fr, aussi connu sous le nom « De particulier à particulier », au paiement d’une amende d’un montant de 100 000 euros. Après avoir procédé à plusieurs contrôles, la CNIL reproche à la société PAP de ne pas avoir respecté un certain nombre d’obligations qui lui incombaient en vertu du règlement général sur la protection des données de 2016 (ci-après « RGPD »).

Tout d’abord, la CNIL reproche à la société PAP d’avoir manqué à l’obligation de conserver les données pour une durée limitée à l’objectif recherché, tel que consacrée au sein de l’article 5, 1.) sous e) du RGPD. La durée de conservation des données de certains comptes clients, établie à dix (10) ans, ne semblait pas justifiée pour la CNIL ; de même que la durée de conservation de cinq (5) établies pour la conservation de données d’autres comptes clients puisque cette durée n’était pas respectée en pratique.

En outre, la CNIL affirme également que la société PAP a manqué à l’obligation d’information de l’article 13 du RGPD, en raison de sa politique de confidentialité, affichée sur son site internet, qui était en pratique incomplète et imprécise. En effet, cette dernière ne mentionnait pas certains éléments indiqués au sein de l’article 13, tels que l’explication des bases juridiques sur lesquelles étaient fondées les traitements de données personnelles, les catégories ou les sous-traitants avec lesquels la société traitait. De plus, elle indiquait des durées de conservation inexactes et manquait de mentionner le droit pour les personnes faisant l’objet de traitements de données personnelles par la société d’introduire une réclamation auprès de la CNIL.

Au cours de ces contrôles, la CNIL s’est également aperçue que les contrats conclus entre la société PAP et ses sous-traitants ne respectaient pas l’article 28 du RGPD, lequel comporte un certain nombre de mentions qui doivent obligatoirement être inscrites au sein des contrats conclus entre un responsable de traitement et un sous-traitant.

Enfin, la CNIL reproche à la société PAP d’avoir manqué à l’obligation de sécurité des données personnelles qu’elle traite, une obligation consacrée au sein de l’article 32 du RGPD. En effet, la CNIL affirme que les règles de complexité des mots de passe des comptes utilisateurs et donc la robustesse de ces derniers n’étaient pas suffisantes pour garantir la sécurité des comptes. De même, plusieurs mesures ne permettaient pas de garantir la sécurité des données des utilisateurs du site internet, telles que la conservation en clair des mots de passe et des références confidentielles par exemple. L’ensemble de ces manquements à l’obligation de sécurité des données présentaient alors autant de défauts de sécurité, exposant ainsi les données traitées par la société PAP à des risques d’attaques informatiques et/ou de fuites.

Ainsi, au regard de l’ensemble de ces manquements, la CNIL condamne la société PAP au paiement d’une amende d’un montant de 100 000 euros.

Jeanne BOSSI MALAFOSSE, associée, et Florian BUSSINET, stagiaire