Mots de passe en clair, stockage longue durée… la CNIL inflige 100 000 euros d’amende à Pap.fr

La CNIL épingle la société De particulier à Particulier (PAP) d'une amende de 100 000 euros, notamment pour le stockage en clair de mots de passe des utilisateurs ainsi qu'une durée de conservation des données jugée trop longue.

L'autorité française de protection des données a procédé à deux missions de contrôle en mars et avril 2022 pour vérifier que le site pap.fr respectait bien le RGPD et la loi Informatique et Libertés. Aux vues des différents manquements qu'elle a constatés, elle a décidé, lors d'une délibération du 31 janvier et publiée ce mardi 13 février, de prononcer une amende de 100 000 euros.

Car le site d'annonces immobilières dérogeait sur plusieurs points au règlement européen : les durées de conservation des données, l’information des personnes, l’encadrement des relations entre l'entreprise et un sous-traitant, ainsi que la sécurisation des données.

Des mots de passe stockés à la fois hachés avec Bcrypt et en clair

La CNIL a constaté plusieurs problèmes dans la gestion de mots de passe du site. Lors de la création d'un compte, pap.fr acceptait les mots de passe d'un caractère unique et ne comportait aucune restriction d'accès en cas d'échec d'authentification. Ce qui permettait à d'éventuels pirates de tester des attaques par force brute ou par dictionnaire de mots de passe sans rencontrer aucun obstacle.

Mais surtout, lors des contrôles, l'autorité s'est aperçue que chaque mot de passe des comptes utilisateurs du site était « à la fois stocké en clair et haché avec l’algorithme de hachage Bcrypt ».

Concernant la fonction de dépôt d'annonce sans compte, la CNIL explique que le système mis en place par PAP consistait à créer une référence confidentielle constituée de 10 caractères alphanumériques. En entrant ces caractères sur le site, l'annonceur avait accès directement à l’annonce et à l’espace associé sur le site. L'autorité considère donc que cette référence s'apparentait à un mot de passe. Celle-ci était composée de sept premiers caractères publics correspondant à la référence de l'annonce déposée sur le site et de trois caractères confidentiels non modifiables par l'annonceur. De plus, cette référence était stockée en clair dans la base de données de PAP.

La CNIL considère que ces modalités de stockage des mots de passe ne permettaient pas « de garantir la sécurité et la confidentialité des données à caractère personnel des détenteurs de comptes utilisateurs ce qui méconnaît l’article 32 du RGPD ».

Depuis les inspections de la CNIL, PAP a supprimé le stockage des mots de passe en clair et a mis en place une obligation de les composer d'au moins huit caractères avec au moins une majuscule, une minuscule, un chiffre et un caractère spécial, « sans que soit prévue de restriction d’accès » précise l'autorité.

Des données stockées plus de temps que nécessaire

Mais PAP n'avait pas « seulement » mis en place un système de sécurité défaillant pour protéger les données de ses utilisateurs.

L'entreprise a défini une durée de conservation de 10 ans à compter de la date d'acceptation de la commande pour les données de tous ses clients (personnes ayant recours aux services payants du site), au premier abord, conforme au Code de la consommation. Mais la loi ne prévoit cette durée de conservation des données que pour des contrats d'un montant supérieur à 120 euros.

Or, ce montant n'est atteint qu'après trois mois de contrat avec PAP. Et la CNIL a constaté que, sur une extraction de 100 lignes de comptes clients ayant passé des commandes il y a plus de cinq ans, 69 concernaient des commandes d'un montant inférieur à 120 euros. L'autorité considère que PAP a conservé « pour des durées excessives » les données de comptes non concernés par cette obligation légale. PAP a expliqué avoir deux offres : l'une sans engagement de 59 euros par mois à contrat unique et l'autre d'une durée de trois pour 135 euros.

La première étant à durée indéterminée, elle considérait ne pas être en mesure de déterminer à l’avance la durée du contrat et lui appliquait donc, par défaut, la durée de conservation de 10 ans. Mais la CNIL n'a pas tenu compte de cette remarque de l'entreprise.

Ce n'est pas tout concernant la conservation excessive de données par PAP. La CNIL a constaté que l'entreprise a conservé plus de temps que nécessaire plus de 3 millions de lignes dans sa base de données concernant, cette fois-ci, les utilisateurs du site (personnes ayant recours aux services gratuits du site). Si l'entreprise a défini une durée de conservation de cinq ans à partir de la date de la dernière connexion au compte, ce qui semble convenir à l'autorité, la CNIL a constaté que « la société avait conservé 2 394 538 lignes depuis plus de cinq ans et moins de dix ans et 737 563 lignes depuis plus de dix ans ».

PAP a précisé « conserver uniquement l’adresse électronique et le compte associé pour une durée de cinq ans à des fins contentieuses et de lutte contre la fraude et avoir supprimé les données conservées au-delà de cette durée de cinq ans ».

La CNIL considère donc que PAP n'a pas respecté l'article 5 du RGPD qui oblige à conserver les données « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Manque d'informations sur la gestion des données

L'autorité relève aussi que la page « politique de protection des données personnelles » était incomplète, notamment en indiquant le nom d'un seul de ses sous-traitants alors que l'entreprise en avait au moins deux autres destinataires des données à caractère personnel. Cette page ne mentionnait pas non plus la possibilité d'introduire une réclamation auprès de la CNIL et les durées de conservation qui y étaient indiquées étaient inexactes.

Justement, concernant l'un des sous-traitants (dont le nom n'est pas cité par la CNIL), le contrat ne contenait pas toutes les mentions par l’article 28, paragraphe 3 du RGPD.

L'entreprise peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.