Commission Nationale de l'Informatique et des Libertés
Photo: CNIL

La CNIL sanctionne Infogreffe de 250 000 € pour manquements au RGPD

La Commission nationale de l’informatique et des libertés (CNIL) prononce une sanction de 250 000 € contre le groupement d’intérêt économique Infogreffe, pour donner suite à un contrôle du site infogreffe.fr, qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.

Les manquements suivants au Règlement Général de la Protection des Données (RGPD) lui sont reprochés :

  • infogreffe.fr conserve dans plus de 25 % des cas les données personnelles plus longtemps que le délai prévu de 36 mois, alors que le RGPD impose une durée de conservation proportionnée à la finalité du traitement ;
  • Le site n’impose pas de mot de passe robuste pour l’accès aux comptes. Ces derniers étaient transmis en clair par message électronique. Ils étaient sauvegardés en clair dans la base de données, tout comme les questions et réponses secrètes utilisées pour la procédure de réinitialisation par les utilisateurs des mots de passe. Or le RGPD impose aux organisations l’obligation d’assurer la sécurité des données personnelles.

L’organisme aurait toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés.

Cette décision de la CNIL a été prise en coopération avec les autres autorités européennes concernées, car des comptes utilisateurs ont été créés depuis tous les États membres de l’Union européenne.