Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. PAP, 31 janvier 2024

Résumé des faits

Des contrôles ont été réalisés par la CNIL auprès de la société PAP, éditrice du site pap.fr, et plusieurs manquements à la règlementation sur les données personnelles ont été constatés.

La société PAP a ainsi été sanctionnée d’une amende publique d’un montant de 100 000 euros pour notamment non-respect de l’information des personnes, la conservation des données, l’encadrement des relations de sous-traitance et la sécurisation des données.

Cette amende a été prise en coopération avec les autorités de contrôle européennes concernées dans le cadre du guichet unique, le site web de PAP ayant des visiteurs dans plusieurs États membres de l’Union européenne.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 5.1.e du RGPD : Des durées de conservation des données non justifiées et non respectées
  • Non-respect de l’art. 13 du RGPD : Informations insuffisantes et imprécises mises à disposition des personnes
  • Non-respect de l’art. 28 du RGPD : Absence des mentions requises dans le contrat de sous-traitance
  • Non-respect de l’at. 32 du RGPD : Sécurisation insuffisante des données

Que retenir de la décision ?

  • La durée de conservation définie ne doit pas excéder celle nécessaire au regard de la finalité pour laquelle les données sont traitées.
  • Les données nécessaires à l’exécution d’un contrat sont conservées pendant la durée de la relation contractuelle. Le respect d’une obligation légale incombant à l’organisme peut, notamment, justifier une durée de conservation plus longue.
  • Les informations devant être fournies à la personne concernée lorsque les données personnelles sont collectées directement auprès d’elle concernent notamment les bases juridiques et les traitements auxquelles elles se rapportent, les destinataires ou les catégories de destinataires des données, le droit d’introduire une réclamation auprès de la CNIL, et les durées de conservation appliquées.
  • Le traitement effectué par un sous-traitant pour le compte d’un responsable de traitement doit être régi par un contrat ou tout autre acte juridique formalisé qui définit l’objet et la durée du traitement, sa nature et sa finalité, le type de données personnelles, les catégories de personnes concernées, les obligations et droits du responsable de traitement, ainsi que les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement.
  • Le caractère suffisant des mesures de sécurité s’apprécie au regard des caractéristiques du traitement et des risques qu’il induit, en tenant compte de l’état de connaissances et du coût des mesures.
  • Les règles de complexité des mots de passe doivent exiger des mots de passe suffisamment robustes, composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux ou une authentification reposant sur un mot de passe d’une longueur minimum de 8 caractères, composé de 3 catégories de caractères différentes mais accompagnée d’une mesure complémentaire comme par exemple, la temporisation d’accès au compte après plusieurs échecs.
  • La conservation sécurisée des mots de passe constitue une précaution élémentaire en matière de protection des données personnelles. Le mot de passe doit être stocké sous une forme transformée au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
  • La sécurité des données nécessite de procéder à un tri parmi les données lorsqu’elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, et de supprimer les données ou de les classer en archivage intermédiaire notamment via une séparation physique ou logique.

Le + DLD

  • Lors du prononcé d’une amende, la CNIL tient compte notamment de la nature, de la gravité et de la durée de la violation, de la portée ou la finalité du traitement, du nombre des personnes affectées, des mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, du fait que la violation a été commise par négligence, du degré de coopération avec l’autorité de contrôle, et dans certains cas du niveau de dommage subi par les personnes.
  • Pour déterminer le montant de l’amende, la CNIL prend en compte notamment des capacités financières de la société.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements et du nombre des personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi