La Cnil prononce une sanction de 100.000 € à l’encontre de l'éditeur du site De Particulier à Particulier, notamment pour ne pas avoir respecté ses obligations en matière de durée de conservation des données et de sécurité des données, les exposant à des risques d’attaques informatiques et de fuites.En 2022, la Commission nationale de l'informatique et des libertés (Cnil) a procédé à deux contrôles de la société PAP, éditrice du site pap.fr (De Particulier à Particulier) permettant aux particuliers de consulter et de publier des annonces immobilières.Lors de ses investigations, elle a relevé des manquements concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données.
Ainsi, la société avait défini une durée de conservation de dix ans pour les données (contenu des annonces, nom, prénom, numéro de téléphone et adresse électronique) de certains comptes des clients ayant recours à des prestations payantes du site, sans que cette durée puisse être justifiée par les dispositions du code de la consommation dont elle se prévalait. Elle avait également défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, sans pour autant l’appliquer.
Par ailleurs, les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes. En outre, la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.
En conséquence, par une délibération SAN-2024-002 du 31 janvier 2024, rendue publique le 13 février 2024, la formation restreinte a prononcé une amende de 100.000 € au regard des manquements au RGPD (Règlement 2016/679 du 27 avril 2016 - Règlement général sur la protection des données).
Le site web de PAP ayant des visiteurs dans plusieurs Etats membres de l’Union européenne (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark et Pologne) ainsi qu’en Norvège, cette amende a été prise en coopération avec les autorités de contrôle européennes dans le cadre du guichet unique.
