De l’importance de bien rédiger la politique de protection des données et de la respecter !

Par une décision du 31 janvier 2024, la CNIL a sanctionné la société PAP, éditrice du site pap.fr, à une amende de 100.000 euros pour avoir notamment manqué à son obligation de conserver les données à caractère personnel pour une durée limitée à l’objectif recherché et tel que prévue dans sa politique de protection des données.

Ce site permet de consulter et publier des annonces immobilières à travers des services gratuits et payants proposés par la société.

S’agissant des données des utilisateurs ayant recours aux services gratuits du site, la société avait défini une durée de conservation de cinq ans qui commence à courir à la date de la dernière connexion au compte utilisateur, ce que la CNIL considère justifiée par la durée de conservation à des fins contentieuses et de lutte contre la fraude.

Cependant, à l’occasion de son contrôle sur place, la CNIL a constaté que la société n’avait pas supprimé un grand nombre des données de ses utilisateurs dans le délai qui avait pourtant été fixé dans sa politique de confidentialité.

S’agissant des données des utilisateurs ayant recours aux services payants du site, la société avait défini une durée de conservation des données à caractère personnel de 10 ans à compter de l’acceptation de la commande. La société a expliqué conserver l’annonce et l’adresse électronique de la personne concernée à des fins de respect des obligations légales tirées du Code de la consommation qui dispose que lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme supérieure ou égale à 120 euros, le contractant professionnel doit conserver l’écrit qui le constate pendant une durée de dix ans à compter de la conclusion du contrat lorsque l’exécution de la prestation est immédiate.

Or, si cette durée de conservation est justifiée pour les contrats de trois mois proposés par la société d’un montant de 135 euros, la CNIL a constaté que la même durée était appliquée pour les contrats sans engagement d’un montant de 59 euros. La CNIL a donc jugé que la société PAP avait conservé les données relatives à ces comptes pour des durées excessives.

Par ailleurs, il a également été reproché à la société PAP un manquement à l’obligation d’information des personnes concernées conformément à l’article 13 du RGPD. La CNIL relève que la politique de confidentialité de la société était imprécise et incomplète puisque :

- si les bases juridiques des traitements étaient indiquées dans la politique de confidentialité, celle-ci ne comprenait aucune explication permettant de savoir à quel traitement se rapportait la base juridique ;

-  elle ne précisait pas les catégories ou les sous-traitants avec lesquels elle traitait ;

-  elle n’indiquait pas le droit de la personne concernée d’introduire une réclamation auprès de la CNIL.

La CNIL a également constaté un manquement de la société PAP à son obligation d’encadrer par un contrat les traitements effectués par son sous-traitant pour son compte. En effet, la CNIL a relevé que si la société avait conclu, à la suite de son rapport de sanction, un avenant avec son sous-traitant comprenant les mentions prévues par l’article 28 du RGPD, le caractère rétroactif de l’avenant ne saurait couvrir le manquement pour le passé.

Enfin, la CNIL a relevé un certain nombre de défauts de sécurité mettant à risque la confidentialité des données à caractère personnel des personnes concernées (mots de passe d’un caractère unique (un chiffre ou une lettre) acceptés pour les comptes utilisateurs, aucune restriction d’accès en cas d’échec d’authentification, conservation en clair des mots de passe des comptes utilisateurs et des références confidentielles associées à une annonce pour les utilisateurs qui n’ont pas de compte).

Carole COUSON-WARLOP, avocate associée, spécialiste en droit de la propriété intellectuelle

Fanny VIGIER, avocate collaboratrice

#Donnéespersonnelles #RGPD #CNIL #Artlexvousinforme