2. Entreprises & Finance
  3. Industrie

  4. Biens d'équipement & BTP & Immobilier

Immobilier : le site De particulier à particulier (PAP) épinglé par la CNIL, sa patronne sort de son silence

EXCLUSIF. La Commission nationale de l'informatique et des libertés (CNIL) vient d'annoncer avoir infligé une amende de 100.000 euros au site spécialisé de petites annonces immobilières De particulier à particulier. Pour La Tribune, la présidente-directrice générale de PAP.fr, Corinne Jolly, répond, point par point, aux quatre manquements au règlement général sur la protection des données (RGPD) qui lui sont reprochés.
César Armand
Corinne Jolly est PDG de PAP depuis 2013.
Corinne Jolly est PDG de PAP depuis 2013. (Crédits : DR)

La sanction est tombée le 31 janvier, mais la Commission nationale de l'informatique et des libertés (CNIL) vient de l'annoncer. Le régulateur des données personnelles inflige une amende de 100.000 euros à PAP.fr, site spécialisé dans les annonces immobilières entre particuliers, « pour ne pas avoir respecté ses obligations en matière de durée de conservation des données et de sécurité des données ».

« Nous prenons acte de cette décision, mais nous ne savons pas encore si nous allons faire appel. Nous avons toujours eu des réserves sur l'aspect bureaucratique du RGPD, mais la CNIL est là pour l'appliquer. Compte tenu de notre bonne foi et de notre coopération, elle a reconnu qu'il n'y avait aucune intention mercantile », réagit, pour La Tribune, la Pdg de PAP.fr, Corinne Jolly.

Quatre manquements au règlement général sur la protection des données (RGPD)

Après avoir procédé à deux contrôles de la plateforme d'achat, de location et de vente de logements, le gendarme du Net a relevé au moins quatre manquements au règlement général sur la protection des données (RGPD). Cette directive européenne, qui s'applique en France depuis le printemps 2018, « renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données les concernant », précise la CNIL sur son site Internet.

Premier reproche qui est fait à De Particulier à particulier: avoir défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site, « sans que cette durée puisse être justifiée par les dispositions du code de la consommation dont elle se prévalait », pointe le régulateur. En l'occurrence, le contenu des annonces, les noms et prénoms, numéros de téléphone et adresses électroniques des clients.

« Toutes nos annonces sont contrôlées humainement. Plutôt que de redemander à nos clients leur pièce d'identité une fois tous les sept ans [durée moyenne dans un logement avant d'en déménager, Ndlr], nous conservons leurs données. Cela fait partie de notre système de lutte contre la fraude »justifie aujourd'hui Corinne Jolly.

Deuxième critique : une politique de confidentialité « incomplète et imprécise » qui mentionnait des durées de conservation des données « inexactes » et qui fournissait ni les explications relatives aux bases juridiques indiquées, ni les précisions quant aux catégories ou sous-traitants. « Ce sont des mentions très formelles aux clauses dans les contrats qui n'ont pas d'impact dans la réalité », affirme, de son côté, la Pdg de PAP.fr

Des règles de complexité des mots de passe « insuffisamment robustes »

Troisième angle d'attaque de la CNIL : un contrat conclu entre la plateforme et un sous-traitant ne comportait pas les mentions requises par le RGPD. « Le règlement général sur la protection des données est tombé après la signature du contrat avec notre prestataire. Ce dernier vient donc de nous faire un contrat rétroactif », assure désormais Corinne Jolly.

Lire aussiPAP veut à son tour disrupter les agences immobilières

Quatrième et dernière erreur : des règles de complexité des mots de passe des utilisateurs jugées « insuffisamment robustes ». « La CNIL nous demande des contraintes de 8 à 12 signes, espaces et caractères spéciaux, mais à dire vrai, cela est de nature à agacer nos clients », estime la patronne de De Particulier à particulier.

Sur ce point, le gendarme du Net considère aussi que la conservation en clair des comptes utilisateurs et des références confidentielles ne permettaient pas de garantir la sécurité des données, relevant que l'ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

« Ces défauts de sécurité exposaient les données à des risques d'attaques informatiques et de fuites », relève la Commission nationale de l'informatique et des libertés.

« Des systèmes de sécurité nous disent que nous prenons des risques, mais nous ne stockons pas de données bancaires, seulement des annonces immobilières », se défend Corinne Jolly.

La décision peut encore fait l'objet d'un recours

Sauf que la formation restreinte, l'organe de la CNIL chargé de prononcer les sanctions, vient de prononcer une amende de 100.000 euros à l'égard de PAP.fr, au regard des manquements retenus, de la coopération de la société et des mesures qu'elle a prises au cours de la procédure pour se mettre en conformité.

« Cela reste 0,5% de notre chiffre d'affaires. C'est quand même beaucoup alors que nous n'avons pas gagné un euro supplémentaire à cause de cela », regrette la patronne. Toujours est-il que cette décision peut faire l'objet d'un recours devant le Conseil d'Etat dans les deux prochains mois.

César Armand

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 13/02/2024 à 20:44
Signaler
Absolument pas surpris. Un vacancier a pu aisément se faire passer pour moi sur cette plateforme et manipuler les photos.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.