PAP épinglé par la CNIL : des millions de données mal protégées
Le site de petites annonces immobilières PAP (particulier à particulier) a été sanctionné par la CNIL pour manquement à la protection des données personnelles de ses utilisateurs. L’amende s’élève à 100 000 euros.
Quels étaient les manquements reprochés à Pap ?
Conservation excessive des données : PAP conservait les données des comptes clients (contenu des annonces, nom, prénom, adresse, numéro de téléphone) pendant plus de 10 ans sans pouvoir justifier valablement cette durée. Pour les utilisateurs utilisant des services gratuits, une durée de 5 ans était définie, alors même que cette durée n’était pas appliquée. Des durées de conservation jugées non conformes à la réglementation.
Manque d’information des utilisateurs : PAP n’ informait pas suffisamment ses utilisateurs sur la politique de confidentialité du site.
- Aucune indication sur le droit d’introduire une réclamation auprès de la CNIL
- Des durées de conservation inexactes
- Aucune information sur les destinataires ou catégories de destinataires
- Aucune explication sur les traitements auxquelles se rapportent les bases légales indiquées
Clause de sous-traitance incomplète : Le contrat conclu avec l’un des sous-traitants de PAP ne comportait pas toutes les mentions prévues par le RGPD permettant d’encadrer la relation de sous-traitance de données.
Défaut de sécurité des données : Les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisantes en termes de robustesse. Les mots de passe composés d’un seul chiffre ou d’une seule lettre étaient acceptés et aucune restriction d’accès n’était mise en place en cas d’échec d’authentification. De plus, chaque mot de passe était stocké en clair, sans cryptage. Cela les rendait facilement accessibles aux pirates informatiques.
Les règles de complexité de mot de passe visent à les rendre plus difficiles à deviner ou à pirater.
Voici quelques points recommandés :
Longueur :
Minimum 12 caractères ou plus
Plus le mot de passe est long, plus il est difficile à craquer.
Composition :
Combinaison de caractères majuscules et minuscules
Ajout de chiffres et de symboles spéciaux (ex : !, $, #, %)
Éviter les caractères accentués
Ne pas utiliser de séquences répétitives (ex : 123456, abcdef)
Ne pas utiliser de mots du dictionnaire ou d’informations personnelles (ex : nom, date de naissance)
Quelles sont les conséquences de cette sanction pour PAP ?
Cette affaire montre l’importance pour les entreprises de respecter la réglementation relative à la protection des données personnelles. Il est essentiel de mettre en place des mesures techniques et organisationnelles pour protéger les données des utilisateurs et de les informer de manière claire et transparente sur la manière dont leurs données sont collectées, utilisées et conservées.
En tant qu’utilisateur, vous pouvez également prendre des mesures pour protéger vos données personnelles :
- Choisissez des mots de passe forts et uniques pour chaque compte.
- Lisez attentivement les politiques de confidentialité avant de créer un compte sur un site web.
- Ne communiquez pas vos données personnelles à des sites web ou des personnes que vous ne connaissez pas.
Obtenez une analyse complète de votre niveau de conformité et des recommandations d’experts.
Nous proposons des audits de conformité pour les entreprises de toutes tailles. Notre équipe d’experts peut vous aider à :
- Évaluer votre niveau de conformité à la réglementation relative à la protection des données.
- Identifier les risques et les vulnérabilités de votre système d’information.
- Mettre en place des mesures correctives pour vous mettre en conformité.
- Des formations pour vos équipes