Infogreffe épinglé par la Cnil pour avoir conservé trop longtemps des données personnelles
La Cnil a condamné Infogreffe une amende de 250 000 euros pour avoir insuffisamment protégé les données personnelles de ses membres et abonnés. Depuis les procédures, des mesures ont été prises.
Infogreffe, le diffuseur de l'information légale des entreprises, a été condamné par la Commission nationale de l'informatique et des libertés (Cnil) à une amende de 250 000 euros pour avoir violé plusieurs obligations imposées par le Règlement général sur la protection des données (RGPD).
Dans sa délibération du 8 septembre, la Cnil raconte avoir été saisie d'une plainte par une personne indiquant que le site web d'Infogreffe conservait les mots de passe des utilisateurs – membres et abonnés – en clair. Elle dit avoir été capable d'obtenir son mot de passe par téléphone en donnant simplement son nom à l'interlocutrice du service d'assistance téléphonique.
Des données conservées au-delà de 36 mois
En réaction, l'autorité a mené une série de contrôles et a repéré deux principales violations. La première concerne l'obligation de conserver les données pour une durée proportionnée à la finalité du traitement. Dans le cadre de la procédure, la Cnil a constaté que la "Charte de confidentialité" du site internet prévoyait que les données personnelles étaient conservées 36 mois à compter de la dernière commande de prestation et/ou de documents. Toutefois, Infogreffe lui a fourni "un fichier de tableur" dont il ressort qu'au 1er mai 2021, il conservait les données de "946 023 membres et de 17 558 abonnées" dont la dernière formalité datait de plus de 36 mois, "sans que l’organisme soit en mesure de justifier d’un contact récent avec lesdits membres ou abonnés".
Pour se défendre, Infogreffe a fait valoir que certaines données devaient être conservées plus longtemps pour les opérations de recouvrement par exemple. Or, la Commission a jugé que la finalité relative aux opérations de recouvrement et la durée de conservation afférente ne pourraient a priori concerner que "les données des abonnés et non des membres, ces derniers payant immédiatement en échange de la réception d’un acte".
Un purge des comptes inactifs mis en oeuvre
Elle a par ailleurs constaté que l’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes. Une purge des comptes inactifs depuis plus de 36 mois a été mise en oeuvre depuis le contrôle.
Lors de son contrôle, la Cnil a également constaté qu'Infogreffe n'imposait pas l'utilisation d'un mot de passe robuste à la création d'un compte sur son site. Il était même impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille.
En outre, il transmettait en clair pour email les mots de passe non temporaires permettant l'accès aux comptes. Il les conservait également en clair dans sa base de données. Par conséquent, l'autorité a conclu qu'il n'avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres. L’organisme a toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés.
SUR LE MÊME SUJET
Infogreffe épinglé par la Cnil pour avoir conservé trop longtemps des données personnelles
Tous les champs sont obligatoires
0Commentaire
Réagir