Défauts de Conformité : Sanctions de la CNIL à l’encontre de PAP et Tagadamedia 

Abstract Radial Tech Urban Light Fractal Background

Le 13 février 2024, la CNIL a publié sa décision SAN-2024-002, rendue le 31 janvier 2024, dans laquelle elle a infligé une amende de 100 000 € à De Particulier A Particulier (PAP) pour violation du RGPD. 

  •  Contexte de la décision  

La CNIL a souligné que le site PAP permet aux particuliers de consulter et de publier des annonces immobilières sans intermédiaire. La CNIL a mené deux enquêtes sur le site du PAP en mars et avril 2022. 

  • Constats de la CNIL 

Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché  

La CNIL a constaté que PAP avait institué une durée de conservation de 10 ans pour les données de certains comptes clients à compter de l’acceptation de la commande. La durée de conservation était systématique et indiscriminée, portant dans les cas sur des transactions inférieures à 120 €.  

Il est à noter que PAP a également institué une période de conservation de cinq ans à compter de la date de la dernière connexion au compte pour les utilisateurs gratuits du site PAP mais n’a pas appliqué une telle durée de conservation dans la pratique.  

Les données conservées comprenaient les nom et prénom, les numéros de téléphone et les adresses électroniques des clients.  

  • En conséquence, PAP ayant conservé les données personnelles au-delà de la durée de conservation indiquée et au-delà de ce qui était nécessaire au regard de la finalité déclarée, la CNIL a considéré que PAP violait l’article 5, paragraphe 1, sous e), du RGPD. 

Un manquement à l’obligation d’information des personnes  

Par ailleurs, la CNIL a constaté que PAP n’avait pas suffisamment informé les personnes concernées lorsque des données à caractère personnel étaient collectées auprès d’elles, en violation de l’article 13 du RGPD.  

Plus précisément, la politique de confidentialité de PAP n’était ni claire ni complète, et elle n’a pas prévu : 

  •  de fournir des explications relatives aux bases juridiques du traitement ; 
  • de préciser les catégories ou les sous-traitants ultérieurs qui ont reçu des données à caractère personnel de la part de PAP ; 
  • d’indiquer le droit d’introduire une réclamation auprès de la CNIL ;
  • et de mentionner des durées de conservation des données inexactes. 

Un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement  

La CNIL a également jugé que PAP ne s’était pas assuré qu’un contrat de traitement de données conclu avec un sous-traitant ultérieur ne contenait pas les informations requises, telles que la durée, la nature et la finalité du traitement. Bien que PAP ait par la suite rectifié un tel contrat, la CNIL a déterminé que PAP violait l’article 28(3) du RGPD. 

Un manquement à l’obligation d’assurer la sécurité des données personnelles  

Enfin, la CNIL a précisé que PAP n’avait pas mis en place les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.  

Les mots de passe des sites Web de PAP qui étaient associés à des identifiants ont été conservés en texte clair, tandis que les exigences relatives à la composition des mots de passe ont également été jugées insuffisamment robustes.  

De même, s’agissant de la conservation des données, la CNIL a prévu que toutes les données relatives aux utilisateurs inactifs soient conservées pendant 10 ans et pendant cinq ans sans archivage de ces données. Par conséquent, PAP ne semblait pas garantir la sécurité des données, en violation de l’article 32 du RGPD. 

 

Le 30 janvier 2024, la CNIL a publié la décision n° SAN-2023-025, émise le 29 décembre 2023, dans laquelle elle a infligé une amende de 75 000 € à TAGADAMEDIA pour violation du RGPD. 

  •  Contexte de la décision 

La CNIL a souligné que dans une décision prise le 25 mars 2022, la CNIL a enquêté sur le site internet de TAGADAMEDIA. La CNIL précise également que TAGADAMEDIA est une agence de marketing, et collecte des données auprès des prospects via des formulaires de participation à des concours en ligne. 

  • Constats de la CNIL 

Un manquement à l’obligation de disposer d’une base légale pour les traitements de données personnelles  

La CNIL a déterminé que bien que TAGADAMEDIA revendique le consentement comme base légale du traitement des données à caractère personnel dans sa politique de confidentialité, la conception du site ne permet pas aux utilisateurs de démontrer leur consentement par un acte positif clair et sans ambiguïté, et encourage les utilisateurs à accepter la transmission de leurs données aux partenaires de TAGADAMEDIA.  

En particulier, la CNIL a considéré que la conception du bandeau de consentement ne permet pas aux personnes concernées d’exprimer valablement leur choix, concernant la transmission de données à des fins de prospection commerciale aux partenaires de TAGADAMEDIA, le bouton d’acceptation du partage de données à caractère personnel se démarquant des autres informations fournies.  

La CNIL a noté que le terme utilisé donne l’impression que les utilisateurs doivent accepter les termes afin de compléter l’inscription. Par ailleurs, la CNIL précise que la politique de confidentialité de TAGADAMEDIA ne précise pas que les données des utilisateurs qui ont refusé la transmission de leurs données aux partenaires de TAGADAMEDIA à des fins commerciales sont toujours transmises à d’autres fins et sur une autre base légale. En conséquence, la CNIL a constaté que TAGADAMEDIA avait violé l’article 6 du RGPD. 

Un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (ROPA) 

La CNIL a également prévu que TAGADAMEDIA n’avait pas tenu de registre des activités de traitement. Notamment, la CNIL a précisé que si TAGADAMEDIA prétend fournir un ROPA détenu conjointement avec la société qui a été acquise par TAGADAMEDIA, et que le ROPA est conforme aux exigences spécifiées par la CNIL, le ROPA ne distingue pas quelle société agit en qualité de responsable de traitement pour l’activité en question. Par exemple, la CNIL a relevé que le ROPA ne distingue pas quelle entreprise agit en tant que responsable de traitement pour les activités de ressources humaines ou de prospection. Par conséquent, la CNIL a constaté que TAGADAMEDIA avait violé l’article 30 du RGPD.