La CNIL (Commission nationale de l'informatique et des libertés) a contrôlé le site web d'INFOGREFFE suite à une plainte à son encontre. Pour rappel, ce site permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.
Les vérifications ont notamment porté sur les durées de conservations définies et les mesures de sécurité mises en œuvre par le GIE INFOGREFFE, éditeur du site web. Plusieurs manquements ont été relevés par la CNIL concernant le traitement des données des utilisateurs qui auraient créé un compte sur le site web.
En effet, les données de 25% des utilisateurs du service faisaient l'objet d'une durée de conservation au-delà des 36 mois prévus. L'anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu'une très faible quantité de comptes.
De plus, l'organisme n'imposait pas l'utilisation d'un mot de passe robuste à la création d'un compte sur son site web, et il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille. En outre, INFOGREFFE transmettait en clair, par mail, les mots de passe non temporaires permettant l'accès aux comptes et conservait également en clair, dans une base de données, les mots de passe ainsi que les questions réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.
Sur la base de ces manquements, la formation restreinte de la CNIL a prononcé à l'encontre du GIE INFOGREFFE, en coopération avec les autres autorités européennes, une amende de 250.000 € rendue publique.
En cas de doute sur votre conformité au RGPD suite à une sanction, n'hésitez pas à contacter Extern DPO. Nous sommes un cabinet de conseil de référence dans le Nord et pouvons effectuer un audit de conformité pour vous aider à identifier les actions à mener afin de diminuer le risque d'être sanctionné par la CNIL.