Le service de l'information légale et officielle des entreprises, Infogreffe, vient de recevoir une amende de 250 000 euros de la part de la Commission nationale de l'informatique et des libertés (CNIL) pour non-respect du RGPD.

Une plainte qui remonte à décembre 2020 contre Infogreffe

Le régulateur français reproche à Infogreffe plusieurs manquements en lien avec le règlement général sur la protection des données (RGPD), notamment sur la durée de rétention des données et la faiblesse de leur sécurisation. La sanction concerne le site web d'Infogreffe. Cette plateforme permet à quiconque de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. La première plainte contre Infogreffe remonte à décembre 2020.

À cette époque, le plaignant avait indiqué que le site du service spécialisé dans l’information légale et officielle des entreprises « conservait les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique ». À partir de cette plainte, la Commission nationale de l'informatique et des libertés a ouvert une enquête et a constaté plusieurs  manquements, notamment au niveau de la durée de conservation des données.

La CNIL a constaté deux manquements majeurs au RGPD

Infogreffe a donc été condamné au titre de l’article 5 du RGPD. Ce passage encadre les principes relatifs au traitement des données à caractère personnel. Selon la CNIL, au 1er mai 2021, « Infogreffe conservait les données de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture ». L'enquête du régulateur a révélé que l’organisme n’avait pas de procédure d’effacement des données. C'est sur ce premier point que le GIE a été sanctionné.

Parallèlement, la CNIL note une certaine faiblesse dans le processus d’anonymisation des données. Il s'agit là du non-respect de l'article 32 du RGPD qui veut que « le responsable du traitement des données mette en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Chez Infogreffe, la protection des données a été jugée insuffisante. Plusieurs sujets ont été pointés du doigt par la CNIL : le nombre de caractères limités à 8 pour le mot de passe, ainsi que la conservation de ces mots en passe en clair.