Vous m’accorderez bien une petite remise ?
La CNIL a prononcé une sanction de 100 000 euros à l’encontre de la société pap.fr, en tenant compte de la coopération de l’entreprise durant et après le contrôle.
En mars et avril 2022, la CNIL a procédé à deux contrôles de la société. Lors de ses investigations, elle a relevé des manquements concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données.
Le montant de cette amende a été déterminé au regard des manquements retenus, de la coopération de la société et des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur certains manquements qui lui étaient reprochés.
Pour autant, il y a eu sanction financière, qui aurait probablement pu être évité ou fortement réduite.
1. Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)
La société avait défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site, sans que cette durée puisse être justifiée par les dispositions du code de la consommation dont elle se prévalait.
En général, un an à trois ans est largement suffisant dans la plupart des cas.
2. Un manquement à l’obligation d’information des personnes (article 13 du RGPD)
Sur son site web, la société informait les personnes au moyen d’une politique de confidentialité incomplète et imprécise.
Souvent, les informations des sites Internet ne sont jamais revues ni actualisées pour tenir compte des évolutions (durée de conservation, intérêt légitime, sous-traitants, etc.)
3. Un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)
Un contrat conclu entre la société et un sous-traitant ne comportait pas les mentions requises par le RGPD.
Il faut toujours inclure des clauses RGPD, voire des annexes, dans les contrats de sous-traitance.
4. Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
Les règles de complexité des mots de passe des comptes des utilisateurs du site étaient insuffisamment robustes.
En outre, la conservation en clair des mots de passe des comptes utilisateurs (associés à leurs identifiants et adresse électronique) et des références confidentielles (associées à un espace personnel) ne permettaient pas de garantir la sécurité des données.
Mots de passe forts et cryptés est une règle de base pour toute application avec un accès par identifiants.