Spécialisé dans les petites annonces immobilières en ligne, l’éditeur PAP (particulier à particulier) vient de se voir infliger une amende de 100 000 euros par la Cnil. Cette dernière a agi en guichet unique auprès des autres régulateurs européens. Ses enquêteurs ont mené des contrôles en 2022 et ont relevé plusieurs manquements au RGPD.

En premier lieu, la comission constate des durées excessives de conservation des données. La société gardait pendant 10 ans plusieurs informations personnelles : le contenu des annonces, les nom et prénom, le numéro de téléphone et de l’adresse électronique des clients. D’autres données étaient conservées pendant 5 ans pour les clients utilisant ses services gratuits. Pour expliquer ces durées, l’éditeur mettait en avant ses obligations prévues par le code de la consommation. Le problème est que lors des contrôles, « la société avait conservé 2 394 538 lignes depuis plus de cinq ans et moins de dix ans et 737 563 lignes depuis plus de dix ans ». Ces données auraient dû être supprimées.

Absence d’informations et sécurité des mots de passe faible

L’éditeur est aussi épinglé pour son manque d’informations auprès des clients sur la politique de confidentialité. Les contrôles ont montré plusieurs absences : pas d’indication sur le droit d’introduire une réclamation auprès de la Cnil, sur les sous-traitants ou des durées de conservation inexactes.

Enfin, la commission restreinte de la CNIL tacle la faiblesse de la sécurité du site PAP. « Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes », peut-on lire dans un communiqué. Par ailleurs, la « conservation en clair des mots de passe des comptes utilisateurs » ne constitue pas une bonne pratique en termes de politique de sécurité.