En cette rentrée, la première sanction infligée par la CNIL tombe sur Infogreffe, le service spécialisé dans l’information légale et officielle des entreprises. Le GIE regroupant des greffes des tribunaux de commerce de France vient d’écoper d’une amende de 250 000 euros pour différents manquements RGPD. L’affaire concerne le site Infogreffe.fr qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.

En décembre 2020, une plainte a été déposée auprès de la Cnil par une personne indiquant que le site « conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique ». La Commission a donc mené une enquête et s’est intéressée aussi sur la durée de conservation des données.

Durée excessive de conservation des données et protection faible

Et sur ce dernier point, le régulateur a constaté des manquements au titre de l’article 5 du RGPD. Au 1er mai 2021, le GIE conservait « les données de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture ». Pour les abonnés, la durée de conservation était fixée à 36 mois. Le problème est que l’enquête a montré que l’organisme n’avait aucune procédure d’effacement des données et qu’elle a gardé des données à caractère personnel au-delà de la durée fixée. La Cnil constate par ailleurs une faiblesse dans le processus d’anonymisation des données.

Enfin deuxième manquement lié à l’article 32 du RGPD, la protection des données est jugée insuffisante. La Cnil tacle notamment le nombre de caractères limités à 8 pour le mot de passe, jugé faible et constitue un risque réel de sécurité. Par ailleurs, le motif initial de la plainte est aussi mis à l’index, c’est-à-dire la conservation des mots en passe en clair. Pour ces différents motifs, Infogreffe est sanctionné, mais la Cnil rappelle que le GIE peut faire appel de la décision.