Les manquements identifiés concernent principalement la durée de conservation des données, l’obligation d’information, la gestion des sous-traitants, ainsi que la sécurité des données.
Effectués en deux temps, les contrôles de la CNIL ont mis en lumière des lacunes dans la gestion des données personnelles par PAP, spécialisée dans les transactions immobilières directes entre particuliers sans intermédiaires.
- Manquement à l’obligation de limitation de la durée de conservation des données
La CNIL a mis en évidence que PAP conservait les données personnelles de ses utilisateurs bien au-delà de la durée nécessaire, enfreignant ainsi les principes du RGPD. En effet, une période de conservation de dix ans était appliquée pour toutes les transactions, sans distinction de montant. Or, le code de la consommation autorise ce délai de conservation uniquement pour les transactions dépassant 120 euros. De plus, les données des utilisateurs étaient retenues jusqu’à dix ans , dépassant largement les cinq ans prévus par l’entreprise. Ces constats soulignent des manquements au principe de minimisation, qui limite la conservation des données au temps nécessaire à leurs finalités. Par conséquent la CNIL rappelle aux responsables de traitement l’obligation d’ajuster les durées de conservation, notamment en distinguant les paiements supérieurs ou inférieurs à 120 euros!!
2. Manquement à l’obligation d’information des personnes
La CNIL a constaté un défaut de transparence concernant la gestion des informations relatives au traitement des données personnelles, notamment celles relatives à l’explication des bases légales et la spécification des destinataires des données. PAP a également échoué à informer adéquatement les utilisateurs sur les périodes de conservation de leurs données et sur leur droit à porter réclamation auprès de la CNIL. Ainsi, la commission souligne l’importance cruciale de fournir des informations claires et complètes pour garantir un traitement équitable et transparent des données personnelles , ce qui est essentiel pour permettre aux utilisateurs de comprendre et d’exercer efficacement leurs droits.
3. Manquements liés à l’encadrement par un acte juridique des traitements effectuées par les sous-traitants
La société a manqué aux obligations de l’article 28, paragraphe 3, du RGPD en ne définissant pas clairement dans ses contrats avec les sous-traitants l’objet, la durée du traitement, les mesures de sécurité des données, ainsi que les droits et obligations en matière de protection des données. Ces lacunes contractuelles ont compromis la transparence, le contrôle et la sécurité du traitement des données personnelles.
4. Manquements à l’obligation d’assurer la sécurité des données
La CNIL a constaté d’importants manquements en matière de sécurité des données chez PAP, mettant en évidence des faiblesses notables dans la gestion des mots de passe et de la conservation des données. Ayant constaté la simplicité des mots de passe autorisés, associée à leur stockage peu sécurisé, la CNIL soulève des inquiétudes quant à la vulnérabilité des données. En outre, l’usage de références confidentielles visibles publiquement et conservées sans protection adéquate a été critiqué pour son manque d’efficacité comme méthode d’authentification fiable, soulignant les risques associés à ces pratiques.
5. Manquements à l’obligation d’information et au droit d’opposition à la prospection commerciale par courrier électronique pour produits ou services analogues
La CNIL a également examiné les pratiques de prospection commerciale de PAP, notamment l’absence d’information claire et la possibilité pour les utilisateurs de s’opposer à la réception de courriels promotionnels pour des produits ou services analogues. Toutefois, l’entreprise a été jugée conforme à cet égard, montrant que les courriels envoyés découlent directement de l’abonnement aux alertes immobilières et ne constituent pas de la prospection directe au sens strict du terme.
Efforts de conformité de la société DE PARTICULIER À PARTICULIER suite aux constats de non-conformité par la CNIL
En réponse aux constatations de la CNIL, la société PAP a entrepris les mesures correctives suivantes :
- Ajustement des durées de conservation des données conformément aux objectifs de traitement ;
- Révision de la politique de confidentialité pour une transparence accrue sur le traitement des données ;
- Mise en place d’accords conformes au RGPD avec les sous-traitants et résiliation des contrats non conformes ,
- Renforcement des exigences de sécurité pour les mots de passe et mise en œuvre de mesures de blocage après tentatives d’accès infructueuses ;
- Amélioration du stockage des mots de passe avec des méthodes de hachage sécurisées et fin du stockage en clair des données sensibles.
Malgré les mesures prises pour se conformer aux exigences de la CNIL, la commission a infligé une amende de 100 000 euros à la société, mettant en évidence la gravité des infractions et leur impact sur les droits individuels des utilisateurs. Cette sanction, prévue pour être publiée sur les sites internet de la CNIL et de Légifrance pendant deux ans, sert de rappel essentiel sur l’importance du respect rigoureux du RGPD.
Elle souligne également qu’une mise en conformité, bien qu’essentielle, ne saurait exempter la société de sa responsabilité pour les manquements passés, constituant ainsi une leçon significative de conformité aux exigences du RGPD pour toutes les entreprises .
Laetitia YAMMINE