LA CNIL SE PAYE INFOGREFFE

C’est tout de même une sanction de 250 000 euros que la CNIL a prononcé à l’encontre du GIE INFOGREFFE pour avoir manqué à plusieurs obligations du RGPD en matière de durée de conservation et de sécurité des données personnelles.

INFOGREFFE est un GIE qui édite le service de diffusion de l’information légale et officielle sur les entreprises et fournit des documents certifiés par les greffes des tribunaux de commerce.

Suite à une plainte, la CNIL a procédé à un contrôle en ligne du site web infogreffe.fr, et y a relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service (personnes ayant créé un compte pour la visualisation ou la commande d’un acte, et abonnés disposant d’un abonnement annuel) :
– les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des 36 mois prévus. L’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes
– l’organisme n’imposait pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille ; en outre, INFOGREFFE transmettait en clair, par mail, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.

Il est précisé que la sanction a été décidée par la CNIL en coopération avec les autres autorités européennes concernées car des comptes utilisateurs ont été créés depuis tous les États membres de l’Union européenne.

Source : CNIL