Durées de conservation et mesures de sécurité : le GIE INFOGREFFE condamné par la CNIL à une amende de 250.000 euros

À la suite d’une plainte dont elle a été saisie, la CNIL a investigué le site infogreffe.fr qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.

La CNIL a relevé plusieurs manquements à règlementation relative à la protection des données personnelles notamment :

• Un manquement relatif aux durées de conversation (article 5.1.e du RGPD)

Le site prévoyait une durée de conservation des comptes utilisateurs de 36 mois à compter de la dernière commande de prestation ou de document. Cependant, la CNIL a constaté que les données de 25% des utilisateurs n’ont pas été purgées alors que le délai de 36 mois était dépassé.

• Un manquement relatif à la sécurité des données personnelles (article 32 du RGPD)

La CNIL a constaté que le site n’imposait pas l’utilisation d’un mot de passe suffisamment robuste et suffisamment long. De plus, le site transmettait les mots de passe en clair par e-mail, et stockait dans sa base de données les mots de passe ainsi que les questions secrètes des utilisateurs en clair.

Pour aller plus loin :

1. Article de la CNIL, Sanction de 250 000 euros à l’encontre d’INFOGREFFE, 13 septembre 2022
2. Les durées de conservation :

https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees, 28 juillet 2020

   3. La sécurité des mots de passe :

• https://www.cnil.fr/fr/securite-des-donnees
• https://www.cnil.fr/fr/mot-de-passe, 21 novembre 2018

   4. Articles du RGPD :

• https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5
• https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

---

Par G.L | News, Protection des données, Sécurité