Infogreffe devra régler une amende de 250 000 euros à la suite d’une décision de la Cnil. Infogreffe est sanctionné pour avoir manqué à plusieurs obligations du RGPD. Cela concerne la durée de conservation des données de ses utilisateurs, leur anonymisation et la sécurité des mots de passe de ses utilisateurs et abonnés.
L’amende tient compte de la situation financière de l’organisme
S’agissant du montant de l’amende, le GIE Infogreffe se défend en pointant le caractère isolé de la plainte à l’origine du contrôle de la Cnil et l’absence de gain financier tiré des manquements. La Cnil rappelle que les amendes administratives doivent être à la fois dissuasives et proportionnées. Elle souligne qu’elle tient compte de l’activité de l’organisme et de sa situation financière. La Cnil considère enfin les manquements au RGPD comme étant graves.
Le montant de la sanction financière paraît élevé au regard des lacunes constatées. Le statut juridique particulier d’Infogreffe et son chiffre d’affaires peuvent expliquer ce montant. On relève que la Cnil ne communique pas le chiffre d’affaires d’Infogreffe, gommé de sa décision. Un article du Monde révèle un chiffre d’affaires de 60,9 millions d’euros en 2017.
Un contrôle en ligne effectué à la suite d’une plainte
La Cnil a procédé à un contrôle en ligne du site web infogreffe.fr, à la suite d’une plainte. Ce site web permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Les vérifications effectuées par la Cnil portaient notamment sur les durées de conservations définies et les mesures de sécurité mises en œuvre par le GIE Infogreffe qui édite le service de diffusion de l’information légale et officielle sur les entreprises à travers le site web.
La Cnil a relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service, c’est-à-dire les personnes ayant créé un compte pour la visualisation ou la commande d’un acte et les personnes abonnées disposant d’un abonnement annuel. Dès lors, la Cnil a prononcé une amende de 250 000 euros à l’encontre du GIE Infogreffe. Cette décision a été prise en coopération avec les autres autorités européennes concernées car des comptes utilisateurs ont été créés depuis tous les États membres de l’Union européenne.
Un utilisateur sur 4 voit ses données être conservées au-delà de 3 ans
Dans le détail, la Cnil a relevé un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement (article 5.1.e du RGPD). Le site web infogreffe.fr prévoyait que les données personnelles des membres et des abonnés seraient conservées 36 mois à compter de la dernière commande de prestation ou de document. Cela concerne les données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse.
Pourtant, la Cnil a constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus. De plus, l’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes.
Une purge des comptes inactifs depuis plus de 36 mois mise en oeuvre
L’organisme a indiqué, au cours de la procédure, qu’une purge des comptes inactifs depuis plus de 36 mois était mise en œuvre depuis le contrôle. La Cnil a observé également un manquement relatif à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). L’organisme n’imposait pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille à 8 caractères.
En outre, Infogreffe transmettait en clair, par email, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et les réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs. En conséquence, la Cnil a considéré que le GIE Infogreffe n’avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs concernés. L’organisme a toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés.
Voila une organisation que je propose de « gommer » de notre vie. Elle n’a littéralement aucun utilité mise à part ralentir notre vie d’entrepreneur, exposer nos données et vendre un service digital plus cher que le service standard (en effet pour faire l’approbation des comptes on paye un petit supplément quand on le fait directement sur le site lol – on a le sens du business chez infogreffe)
Pratiques scandaleuses et organisation poussiéreuse – personne n’est irremplaçable