La Cnil a prononcé une sanction de 250.000 € à l’encontre du GIE Infogreffe pour avoir manqué à plusieurs obligations du RGPD en matière de durée de conservation et de sécurité des données personnelles des utilisateurs.Saisie par une plainte, la Commission nationale de l'informatique et des libertés (Cnil) a procédé à un contrôle en ligne du site web infogreffe.fr, qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.
Plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service ont été identifiés.
Ainsi, le site infogreffe.fr prévoyait que les données personnelles des membres et abonnés (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse) seraient conservées 36 mois à compter de la dernière commande de prestation et/ou document. Or, la Cnil a constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus.
Par ailleurs, la Cnil a constaté que l’organisme n’imposait pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et qu’il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille.
En outre, Infogreffe transmettait en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.
En conséquence, par une délibération n° SAN-2022-018 du 8 septembre 2022, la formation restreinte de la Cnil a prononcé à l’encontre du GIE Infogreffe une amende de 250.000 € rendue publique. Cette décision a été prise en coopération avec les autres autorités européennes concernées car des comptes utilisateurs ont été créés depuis tous les Etats membres de l’Union européenne.
