CNIL, Infogreffe Lourde Sanction à cause des données personnelles

CNIL, les sanctions tombent et Infogreffe est lourdement condamnée pour des motifs clairement exposés, conservation des données personnelles au delà des limites autorisées, et en plus conservation des données non sécurisées.

CNIL, Infogreffe Lourde Sanction, à cause des données personnelles. Infogreffe condamnée à payer 250 000 euros d’amende par la Cnil. Le 13 septembre dernier, la Cnil a prononcé une sanction à l’encontre de la société INFOGREFFE pour conservation trop longue et non sécurisée des données personnelles des utilisateurs de son site internet.

La Commission nationale de l’informatique et des libertés (CNIL) a mené l’enquête après qu’un utilisateur ait porté plainte.

Dans un premier temps, l’utilisateur en question aurait d’abord remarqué la facilité d’accès des tiers à son mot de passe.

Après qu’elle ait été saisie, la CNIL procède à une enquête qui lui permet de découvrir sur le site web Infogreffe.fr plusieurs lacunes liées au traitement des données personnelles des usagers du service, comme l’absence de procédure d’anonymisation automatique ou encore le stockage d’informations sensibles (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse…) excédant la limite définie par les obligations du RGPD.

Pour ceux qui l’ignorent, Infogreffe.fr est un site internet qui offre à ses membres la possibilité de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce moyennant une certaine somme d’argent.

CNIL, Infogreffe Lourde Sanction, à cause des données personnelles, tous les  détails concernant cette affaire dans cet article ! Découvrons.

Sanction de 250 000 euros à l’encontre d’INFOGREFFE

Créée en 2001, la plateforme infogreffe.fr héberge des données juridiques et économiques collectées dans les 141 greffes des tribunaux de commerce sur les sociétés et autres structures immatriculées au Registre du commerce et des sociétés (RCS). Les personnes qui souhaitent accéder à ces données peuvent passer par la plateforme, moyennant une certaine somme. La plateforme permet aussi à toute personne de commander des documents certifiés par les greffes des tribunaux de commerce.

Seulement, sur Infogreffe.fr, comme c’est le cas sur la plupart des sites internet proposant des services, il faut d’abord s’inscrire et accepter de donner des informations personnelles et bancaires avant de pouvoir profiter de ses services et donc d’accéder aux données recherchées ou de commander des documents certifiés.

Malheureusement pour GIE INFOGREFFE, un utilisateur a découvert une irrégularité liée aux traitements et stockage de données. Suite à cela, l’utilisateur a porté plainte. Cette dernière saisie ensuite la CNIL, qui mène son enquête et procède à un contrôle en ligne du site web infogreffe.fr. La CNIL découvrira par la suite des manquements graves.

Sur la base de ces constatations, la CNIL, en coopération avec les autres autorités européennes, inflige à GIE INFOGREFFE une amende de 250 000 euros pour avoir enfreint quelques règles imposées par le règlement général sur la protection des données (RGPD) en matière de durées de conservation et de sécurité des données personnelles.

Les manquements relevés par la CNIL sur le site infogreffe.fr

Le site des greffes des tribunaux de commerce français spécialisé dans la vente de données a été reconnu coupable d’infractions à deux articles du RGPD, celui relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement (article 5.1.e du RGPD) et celui relatif à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).

• 
  

  CONSERVATION AU-DELA DE LA LIMITE AUTORISEE DES DONNEES PERSONNELLES DE CERTAINS MEMBRES :

  
  

L’article 5.1.e du RGPD prévoit que les données à caractère personnel doivent être conservées sous une certaine forme pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour le cas d’infogreffe.fr, la conservation des données personnelles et bancaires des utilisateurs ne devait pas excéder 36 mois (3 ans) à compter de la dernière commande de prestation et/ou document.

Or, lors du contrôle, la CNIL a découvert que les données personnelles et bancaires de près de 25 % des utilisateurs du service étaient conservées au-delà des délais prévus, ce qui en fait une infraction à l’article 5.1.e du RGPD.

Dans sa délibération, la CNIL annonce aussi avoir découvert un manquement sur l’anonymisation manuelle des demandes des utilisateurs. Elle ne concernait uniquement qu’une très faible quantité de comptes. Pour rappel, le règlement général sur la protection des données (RGPD) ne comporte pas d’obligation générale d’anonymisation. Seulement, si les utilisateurs demandent aux sites web d’anonymiser leurs données, ceux-ci ont l’obligation de le faire manuellement, chose qu’infogreffe.fr a malheureusement manqué de faire.

• 
  

  CONSERVATION DE MANIERE NON SECURISEE LES DONNEES PERSONNELLES DES UTILISATEURS :

  
  

L’article 32 du RGPD indique que les plateformes en ligne doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité informatique des données de leurs membres, abonnées ou utilisateurs.

La CNIL a cependant constaté sur le site, non pas une, mais plusieurs infractions à cette règle. D’abord, ce dernier n’exigeait pas des utilisateurs l’utilisation d’un mot de passe fort lors de la création d’un compte sur son site web, alors qu’il est tenu de le faire. Plus grave encore, quasiment tous les comptes sur la plateforme, qui sont au nombre de 3,7 millions pour information, sont en fait dans l’incapacité d’avoir un mot de passe robuste, car le champ pour la saisie de mot de passe est en fait trop court pour le permettre.

Pour finir, la CNIL a aussi noté dans sa délibération qu’INFOGREFFE conservait en clair dans sa base de données les mots de passe et les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs. Or, ces informations ne sont pas censées être conservées, et surtout pas en clair afin de garantir la sécurité des comptes des utilisateurs.

Infractions sur la plateforme Infogreffe, la plainte date de décembre 2020

Dans sa délibération publiée sur Légifrance le 13 septembre dernier, la Commission nationale de l’informatique et des libertés explique avoir été saisie d’une plainte le 12 décembre 2020 d’une personne déplorant des infractions liées au traitement données sur le site infogreffe.fr. La personne en question a cité avoir été « capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à la personne du service d’assistance téléphonique ».

Outre le fait qu’une information aussi importante ne devait être donnée aussi facilement sans contrôle d’identité plus stricte, ce fait suppose aussi qu’infogreffe.fr conservait forcément les mots de passe de ses membres en clair.

Saisie par la plainte, la CNIL effectue le 4 mars 2021 un contrôle en ligne sur le site et relève de nombreuses infractions.

Le 16 février 2022, la CNIL notifiait à Infogreffe un rapport détaillant les manquements constatés au RGPD, accompagné d’une convocation à une séance de la formation restreinte le 21 avril 2022.

Enfin, le 13 septembre 2022, la CNIL, réunie en sa formation restreinte composée des membres Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Christine MAUGÜÉ, Monsieur Alain DRU et Monsieur Bertrand du MARAIS, prononce la sanction de 250 000 euros à l’encontre d’INFOGREFFE.

Notez que dans sa délibération, la CNIL précise que cette sanction prononcée est encore susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois.

Auteur Antonio Rodriguez Mota, Editeur et Directeur de Clever Technologies

Sources :