Dans une décision du 31 janvier 2024[1], la CNIL a infligé une amende de 100 000 euros à PAP, la société éditrice du site internet de publication et de consultation d’annonces immobilières en ligne « De Particulier à Particulier », notamment car celle-ci conservait les données personnelles de ses clients pour une durée excessive.
Lors de deux contrôles diligentés en 2022, la CNIL a relevé quatre violations par la société PAP des règles imposées par le RGPD. Parmi ces violations : le manquement à l’obligation de limiter les durées de conservation des données des comptes utilisateurs. Retour sur cette décision.
I. La conservation pendant une durée excessive des données personnelles des clients non-facturés
La société avait indiqué qu’elle conservait les données personnelles des utilisateurs ayant recours aux services gratuits du site pendant « cinq ans à compter de la dernière connexion au compte », « à des fins contentieuses et de lutte contre la fraude », ce que la CNIL a considéré comme une durée justifiée.
Or, les agents de contrôle ont relevé qu’en réalité, les données étaient conservées pendant plus de cinq ans – cette durée allant parfois jusqu’à « plus de dix ans » – « en base active, sans qu’intervienne d’archivage intermédiaire ».
Cela constitue une violation du paragraphe (e) l’article 5-1 du RGPD[2], mais également des principes généraux de loyauté et de transparence des traitements édictés par le paragraphe (a) du même texte. Le manquement étant caractérisé, la société a dû se mettre en conformité en supprimant les « données relatives [aux] comptes inactifs depuis plus de cinq ans ».
II. La conservation pendant une durée excessive des données personnelles des clients facturés
La société conservait le contenu des annonces, le nom et le prénom, le numéro de téléphone et l’adresse électronique des clients pendant une durée de « dix ans à compter de la date d’acceptation de la commande », en se prévalant des dispositions du Code de la consommation[3].
La CNIL relève que la société proposait deux formules payantes à ses clients : soit un contrat d’une durée déterminée de trois mois pour 135€, soit un contrat sans engagement pour 59€ par mois à durée indéterminée. Pour les seconds, la société estimant ne pas être en mesure de déterminer à l’avance la durée du contrat, elle avait fait le choix de « conserver toutes les données relatives à ces contrats pour une durée de dix ans, quel qu’en soit le montant final ». Selon le Code de la consommation, les professionnels doivent conserver les données personnelles des consommateurs pour les contrats d’une valeur supérieure à 120€ pendant dix ans. Cependant, la CNIL précise que cette obligation ne s’applique pas aux contrats de faible valeur, c’est-à-dire inférieure à 120€.
Ainsi, la CNIL considère que la conservation pour une durée de dix ans est pleinement justifiée pour les contrats de trois mois d’un montant de 135 euros proposés par la société. En revanche, en conservant par défautles données relatives aux « contrat sans engagement d’un montant de 59€ par mois », la CNIL considère que la société a violé l’article 5.1(e) du RGPD.
La CNIL souligne que « pour assurer la sécurité des données, il est nécessaire qu’un tri soit effectué parmi ces données » et que celles-ci « doivent être supprimées ou faire l’objet d’un archivage intermédiaire consistant notamment en une séparation physique ou logique ». Cette décision rappelle aux responsables de traitement l’importance de trier les données pour appliquer les mesures de purge adaptées. La CNIL encourage les DPO et les équipes opérationnelles des sites de e-commerce à collaborer pour définir les règles d’archivage et de purge en fonction de la valeur des paniers moyens.
