Le site spécialisé en petites annonces immobilières, De particulier à particulier (PAP), s’est vu décerner une amende de 100.000€ par la Commission nationale de l’informatique et des libertés (CNIL), pour divers manquements au Règlement général sur la protection des données (RGPD).

La délibération de la CNIL, datée du 31 janvier 2024, est librement accessible en cliquant ici.

Les nombreuses et importantes violations constatées par la CNIL aux obligations pesant sur la société PAP en matière de durée de conservation des données, et surtout de sécurité de ses dernières, doivent alerter et interroger les utilisateurs de sa plateforme de diffusion de d'annonces.

A cet égard, il convient de souligner que la délibération de la CNIL restera publique durant les deux années suivants sa publication, ce qui permettra sans aucun doute aux utilisateurs de la plateforme de diffusion de prendre conscience des pratiques particulièrement inquiétantes du leader des petites annonces immobilières en ligne.

En effet, à l’heure du tout-numérique, la protection des données personnelles devrait être érigée en principale priorité des acteurs du numériques, et notamment de l’immobilier.

Aussi, la délibération de la CNIL fera l’objet d’une analyse, point par point, afin d’attirer l’attention du lecteur sur les négligences particulièrement grossières commises par la société PAP, notamment dans la sécurisation des données personnelles, mettant ainsi en danger la vie privée de plusieurs millions d’utilisateurs !

1. VIOLATION DES DURÉES DE CONSERVATION (article 5-1 e. RGPD).

Aux termes de l’article 5-1, e) du RGPD, les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ".

La CNIL constate qu’une distinction est effectuée par la société PAP entre d’une part, les données des clients (abonnement payant), et les données des utilisateurs (utilisation gratuite), les premières étant conservées pour une durée de 10 années, les secondes pour une durée de 5 années.

La société PAP invoque l’article D.213-1 du Code de la consommation comme finalité de la conservation des données (obligation de conservation des données pour les contrats d’un montant supérieur ou égal à 120€).

Or, la CNIL constate que les données relatives aux clients de la société PAP étaient systématiquement conservées pour une durée de 10 années, indépendant du montant du contrat (inférieur ou supérieur à 120€). De même, l’autorité indépendante constate que les données des utilisateurs (sans abonnement), ne pouvaient être valablement conservées sur la seule base de l’article D.213-1 du Code de la consommation, dès lors que cet article n’impose que la conservation des données relatives aux contrats portant sur un montant supérieur ou égal à 120€.

De surcroît, la CNIL a constaté que la société conservait au jour du contrôle :

• 2.394.538 lignes correspondant à des comptes d’utilisateurs de plus de 5 ans (et moins de 10 ans) à compter de la dernière date de connexion ;
• 737 563 lignes correspondant à des comptes utilisateurs de plus de 10 ans à compter de la date de dernière connexion.

Ces faits constituent un grave manquement à l’article 5-1 du RGPD.

2. VIOLATION DE L'OBLIGATION D'INFORMATION DES PERSONNES (article 13 RGPD).

L’article 13 du RGPD prévoit en substance, l’obligation pour tout responsable de traitement, de communiquer aux personnes dont les données à caractère personnel sont collectées, d’informer ses dernières de :

• L’identité du responsable de traitement ;
• Ses coordonnées ;
• Les finalités du traitement mis en œuvre ;
• Sa base juridique ;
• Les destinataires ou catégories de destinataire des données ;
• La durée de conservation des données ;
• Les différents droits dont bénéficient les propriétaires des données (droit au retrait du consentement, droit d’introduire une réclamation auprès d’une autorité de contrôle, …)
• Le cas échéant, l’intention du responsable de traitement de transférer les données vers un pays tiers.

En l’espèce, la CNIL constate que le site PAP, à travers sa page « politique de protection des données personnelles », ne satisfaisait pas à l’obligation d’information ci-avant rappelé, qui lui était imposée.

L’autorité indépendante constate en conséquence, un manquement à l’article 13 du RGPD.

3. VIOLATION DE L'OBLIGATION D'ENCADRER PAR UN ACTE JURIDIQUE LES TRAITEMENTS EFFECTUÉS  (article 28 RGPD).

L’article 28 paragraphe 3 du RGPD prévoit que tout traitement effectué par un sous-traitant pour le compte d’un responsable de traitement doit être régi par un contrat ou tout autre acte juridique.

Cet acte juridique doit contenir l’objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées ainsi que les obligations et les droits du responsable de traitement et les conditions d’intervention du sous-traitant.

Autrement formulé, la transmission des données personnelles des utilisateurs et clients de la société PAP à certains de ses sous-traitants, était dépourvue de tout cadre juridique ...

La CNIL constate un manquement de la société PAP eu égard aux dispositions ci-avant rappelées du RGPD.

4. L'OBLIGATION D'ASSURER LA SECURITÉ DES DONNÉES (article 32 RGPD).

L’obligation d’assurer la sécurité des données pesant sur le responsable de traitement et le sous-traitant, résulte de l’article 32 du RGPD, citant notamment, au titre des « mesures techniques et organisationnelles appropriées », les suivantes :

« a) la pseudonymisation et le chiffrement des données à caractère personnel;

1. b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
2. c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
3. d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

En l’espèce, la CNIL a relevé de nombreux manquements au regard, d’une part, du faible niveau de sécurité des mots de passe des utilisateurs, et d’autre part, de la conservation des données en base active sans archivage.

a. Mots de passe et références confidentielles.

La CNIL relève que les mots de passe des comptes utilisateurs du site PAP ne présentaient pas une sécurité suffisante.

En effet, non seulement, les mots de passe constitués d’un seul caractère alphanumérique étaient acceptés par le site internet, mais aucune restriction d’accès en cas d’échec d’authentification n’était mise en œuvre.

Comme si cela n’était pas suffisant, la CNIL constate que les mots de passe des utilisateurs étaient stockés en clair et haché via l’algorithme Bcrypt.

Enfin, il est également relevé par l’organisme de contrôle qu’à chaque dépôt d’annonce, l’utilisateur se voyait communiquer en clair une référence « confidentielle » composée de dix caractères alphanumériques dont les sept premiers étaient publics, puisque correspondant aux caractères de la référence de l’abonné déposée sur le site internet.

Cette référence permettait à l’utilisateur d’accéder directement à son espace personnel. Cette référence « confidentielle » était également stockée en clair dans la base de données du site PAP.

A titre d’information, la Commission rappelle sa position en matière de sécurité suffisante de mots de passe. Elle se réfère ainsi à sa délibération n° 2017-012 du 19 janvier, retenant que pour assurer un niveau de sécurité et de confidentialité suffisant, dans l’hypothèse où l’authentification repose uniquement sur un identifiant et un mot de passe, ce dernier doit être composé d'au minimum douze caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux

En conséquence, la formation restreinte de l'organisme considère que la politique des mots de passe et de la référence confidentielle déployée par la société PAP est insuffisamment robuste pour garantir la sécurité des données traitées, ce qui méconnaît l’article 32 du RGPD.

Elle considère également que les modalités de stockage des mots de passe et des références confidentielles ne permettaient pas, au jour des constats, de garantir la sécurité et la confidentialité des données à caractère personnel des détenteurs de comptes utilisateurs ce qui méconnaît également l’article 32 du RGPD.

b. Conservation des données en base active.

La CNIL relève que l’ensemble des données relatives aux clients inactifs était conservé durant dix ans, et que celles relatives aux comptes utilisateurs inactifs était conservé pour une durée de 5 ans, en base active sans qu’aucun processus d’archivage intermédiaire ne soit mis en place par le site PAP.

PAP arguait pour sa défense que la conservation des données en base active était justifiée par une finalité de lutte contre la fraude.

La CNIL considère que si cette finalité peut justifier la conservation des données, elle ne saurait cependant justifier leur conservation en base active selon les modalités définies par PAP, dès que ces modalités ne permettent pas d’assurer la sécurité des données (les salariés de la société avait accès aux données).

La CNIL retient également une totale absence de tri des données conservées, notamment entre celles de l’annonce et celles de l’adresse de facturation, lesquelles n’étaient pas nécessaires à l’objectif poursuivi de lutte contre la faute.

Au regard des faits ci-avant développé, la CNIL retient un manquement au regard de l’article 32 du RGPD.

LES ENSEIGNEMENTS DE CETTE DELIBERATION

Le montant de l’amende proposé par le rapporteur était de 250.000€.

L’article 83 du RGPD prévoit les critères devant être pris en considération par la formation restreinte, pour le prononcé d’une amende administrative. Il s’agit notamment, de la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes affectées, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle et, dans certains cas, le niveau de dommage subi par les personnes.

Compte tenu des faits de l’espèce, et notamment du chiffre d’affaires et du résultat net réalisés sur l’année 2022, prononce une amende d’un montant de 100.000€, ainsi que la publication de la décision sur le site de la CNIL.

Cette décision identifie expressément la société PAP, et ce pour une durée de 2 années à compter de sa publication.

Cette délibération vient rappeler aux utilisateurs de telles plateformes l’absence de toute considération dont ils font l’objet.

En effet, il est particulièrement frappant de constater que la société PAP conservait pas moins de 3.132.101 de lignes de données personnelles, dont une partie était  détenue en base active (sans archivage ni restriction d’accès) depuis plus de 10 années à compter de la dernière date de connexion !

Cela mis en relation avec l’absence de toute sécurité de quelque sorte que ce soit des données des utilisateurs, « protégées », rappelons-le, par un mot de passe pouvant être constitué d’un seul caractère alphanumérique …

Nul doute que les utilisateurs attachant un tant soit peu d’importance à leur vie privée, n’hésiteront plus un seul instant à délaisser de telles plateformes au profit d’agences immobilières traditionnelles, qui sauront leur apporter une juste considération.

Corinne Jolly, PDG de la société PAP, à récemment réagi auprès du média La Tribune, en déclarant :

« Nous prenons acte de cette décision, mais nous ne savons pas encore si nous allons faire appel. Nous avons toujours eu des réserves sur l'aspect bureaucratique du RGPD, mais la CNIL est là pour l'appliquer. Compte tenu de notre bonne foi et de notre coopération, elle a reconnu qu'il n'y avait aucune intention mercantile ».