Éditeur du site pap.fr spécialisé dans les annonces immobilières entre particuliers, PAP (Particulier à Particulier) écope d'une amende de 100 000 euros prononcée par la Commission nationale de l'informatique et des libertés (Cnil).

À la suite de contrôles effectués en mars et avril 2022, la Cnil a constaté des manquements au Règlement général sur la protection des données (RGPD). Comme le site de PAP a des visiteurs de plusieurs pays européens, l'amende administrative a été décidée en coopération avec les autres autorités européennes de protection des données.

La Cnil souligne en outre que le montant de l'amende tient compte de la coopération de PAP et des mesures prises pour se mettre en conformité sur certains points au cours de la procédure.

À faire froid dans le dos

Les manquements sanctionnés concernent des durées de conservation des données non justifiées et non respectées, une politique de confidentialité incomplète et imprécise, un contrat avec un sous-traitant sans les mentions requises par le RGPD, des données insuffisamment sécurisées.

La Cnil indique que les mots de passe des comptes des utilisateurs du site n'étaient pas suffisamment robustes, en raison des règles de complexité exigées. Jusqu'à accepter un mot de passe d'un caractère unique et sans restriction d'accès en cas d'échec d'authentification. Par ailleurs, une conservation des mots de passe et de références confidentielles se faisait en clair.

" Les défauts de sécurité exposaient les données à des risques d'attaques informatiques et de fuites ", écrit la Cnil. Les étonnants manquements en matière de sécurité des données ont heureusement été corrigés. PAP revendique plus de 9 millions de visites par mois sur pap.fr et la publication de centaines de milliers d'annonces chaque année.