BLOG DU CABINET HAAS AVOCATS

  • Il n'y a aucune suggestion car le champ de recherche est vide

Une sanction de 100 000 € contre PAP

mars 17 2024
Une sanction de 100 000 € contre PAP
⏱ Lecture 2 min

Par Haas Avocats

Le 13 février 2024, la CNIL a rendu une délibération sanctionnant la société DE PARTICULIER A PARTICULIER (ci-après : « PAP ») à hauteur de 100 000€ d’amende.

Cette société est spécialisée dans la publication et la fourniture de services permettant aux particuliers d'effectuer des transactions immobilières sans intermédiaire via son site web. Dans le cadre des deux contrôles effectués par la CNIL, plusieurs manquements ont été identifiés concernant :

  • L’encadrement de la durée de conservation des données personnelles ;
  • L’obligation d’information des personnes ;
  • L’élaboration d’un contrat de sous-traitance de données à caractère personnel ;
  • La sécurité des données à caractère personnel.

L’encadrement de la durée de conservation des données personnelles

A des fins de lutte contre la fraude, la société PAP a choisi de conserver pour une période de 10 ans les données des clients ayant recours aux services payants de son site Internet. Toutefois, cette durée de conservation n’est applicable qu’aux données des clients ayant conclu un contrat électronique portant sur une somme excédant 120 euros[1] et il se trouve que la société PAP appliquait cette durée de conservation à tous les contrats électroniques.

S’agissant des données des utilisateurs, la formation restreinte reproche à la société PAP de n’avoir pas respecté la politique déterminée en son sein concernant la durée de conservation de 5 ans[2] des données personnelles des utilisateurs de sa plateforme en conservant, en pratique les données depuis plus de 10 ans (excédant grandement le délai de conservation nécessaire à couvrir le risque d’un éventuel contentieux).

Le manquement à l’obligation de sécurisé les données personnelles

Dans le cadre de son contrôle, la CNIL constate plusieurs manquements gravitant autour des mesures de sécurité techniques protégeant le système d’information de PAP :

  • Concernant la documentation contractuelle, la CNIL a observé que les contrats de sous-traitance ne reprenaient pas tous les éléments mentionnés à l’article 28 du RGPD.

Avec cette délibération la CNIL rappelle une énième fois les principes essentiels du RGPD, indispensables au respect des droits des personnes concernées ainsi qu’à la protection de leurs données à caractère personnel. Espérons qu’avec le temps ce type d’irrégularité sera de plus en plus rare. Surtout sur des organismes aussi importants que PAP…

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

[1] L.213-1 et D.231-1 du code de la consommation

[2] Correspondant au délai de prescription applicable

 
Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin

 

Tous droits réservés. Copyright 1998-2024.

YouTube   LinkedIn

Politique de gestion des cookies - Mentions légales - Politique de confidentialité