La CNIL a prononcé une sanction de 250 000 euros à l’encontre du GIE INFOGREFFE pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.
Le contexte
À la suite d’une plainte dont elle a été saisie, la CNIL a procédé à un contrôle en ligne du site web infogreffe.fr, qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Les vérifications portaient notamment sur les durées de conservations définies et les mesures de sécurité mises en œuvre par le GIE INFOGREFFE, qui édite le service de diffusion de l’information légale et officielle sur les entreprises à travers le site web.
Lors des investigations, la CNIL a notamment relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service (les personnes ayant créé un compte pour la visualisation ou la commande d’un acte et les personnes abonnées disposant d’un abonnement annuel).
Sur la base de ces constatations, la formation restreinte (organe de la CNIL chargé de prononcer des sanctions) a prononcé à l’encontre du GIE INFOGREFFE une amende de 250 000 euros rendue publique. Cette décision a été prise en coopération avec les autres autorités européennes concernées car des comptes utilisateurs ont été créés depuis tous les États membres de l’Union européenne.
Les manquements sanctionnés
Un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement (article 5.1.e du RGPD)
Le site web infogreffe.fr prévoyait que les données personnelles des membres et abonnés (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse) seraient conservées 36 mois à compter de la dernière commande de prestation et/ou document.
Pourtant, la CNIL a constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus. L’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes.
L’organisme a indiqué, au cours de la procédure, qu’une purge des comptes inactifs depuis plus de 36 mois était mise en œuvre depuis le contrôle.
Un manquement relatif à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
La CNIL a également constaté que l’organisme n’imposait pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et qu’il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille.
En outre, INFOGREFFE transmettait en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.
En conséquence, la CNIL a considéré que le GIE INFOGREFFE n’avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs concernés.
L’organisme a toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés.