Javascript is required
logo-dastralogo-dastra

Infogreffe : sanction de 250 000 euros par la CNIL

Infogreffe : sanction de 250 000 euros par la CNIL
Jérôme de Mercey
Jérôme de Mercey
13 septembre 2022·5 minutes de lecture

Sanction

La CNIL a publié ce matin la sanction de 250 000 euros qu'elle a infligée au GIE Infogreffe.

Manquements

Le 8 septembre 2022, la formation restreinte de la CNIL a sanctionné le groupement d'intérêt économique Infogreffe d’une amende de 250 000 euros pour non-respect des articles 5.1.e et 32 du Règlement Général de la Protection des Données (RGPD).

Ces articles soumettent le responsable de traitement à l’obligation de conserver les données dans une durée proportionnée à la finalité du traitement (art. 5.1.e), et à l’obligation d’assurer la sécurité des données personnelles (art. 32).

Sécurité

La Commission a constaté plusieurs manquements augmentant le risque d’une attaque informatique par des tiers non autorisés.

Tout d’abord, la robustesse des mots de passe a été jugée insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. Le risque d’attaque, qui consiste à tester successivement et de façon systématique de nombreux mots de passe, est important.

Encore, l’organisme envoyait les mots de passe non temporaires en clair à l’utilisateur par email, permettant l’accès à son compte. De ce fait, si un tiers, autorisé ou non autorisé, a accès à la messagerie, celui-ci peut récupérer le mot de passe et l’utiliser afin d’accéder au compte Infogreffe.

Autre problème, l’utilisateur ne recevait aucune alerte ou demande de confirmation en cas de changement du mot de passe. Il n’est donc pas protégé contre les tentatives d’usurpation de son compte.

La formation restreinte de la CNIL constate alors des mesures insuffisantes pour garantir la sécurité des données, sans qu’il ne soit nécessaire de caractériser une violation de données.

Conservation

Le groupement Infogreffe prévoyait, dans sa Charte de confidentialité, que les données collectées et traitées seraient conservées pour une durée de 36 mois à compter de la dernière commande de prestation et/ou document.

Pourtant, Infogreffe a fourni à la délégation de la CNIL un fichier de tableur dont il ressort qu’un quart des comptes ont été conservés au-delà de 36 mois à compter de la dernière commande, formalité ou facture sur le site “infogreffe.fr”.

Infogreffe conteste la décision, en expliquant que d’autres finalités, comme une opération de recouvrement, peuvent justifier la conservation pour une durée supérieure à 36 mois.

La formation restreinte de la CNIL rappelle que si certaines finalités justifient une conservation des données personnelles supérieure à 36 mois, c’est à la condition que différentes actions soient réalisées, ce que Infogreffe ne démontre pas dans cette affaire.

Il est également reproché à l’organisme de n’avoir mis en place aucune procédure de suppression automatique des données personnelles dès lors que la durée de conservation excède les 36 mois, et aucune procédure d’anonymisation automatique. Les comptes étaient, ainsi, conservés sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs.

Faits intéressants

  • une plainte de décembre 2020 est l'origine du contrôle en ligne
  • dans le contrôle en ligne, la charte de confidentialité a été récupérée
  • elle cite ses propres sanctions en tant que référence pour l'obligation de sécurité des mots de passe (Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte).
  • elle rappelle que l'obligation n'est pas nécessairement sanctionnée au moment T mais aussi par le passé (la période couverte par l'absence de sécurité des mots de passe remontait à 2002
  • elle indique que les recommandations mots de passe et guide de la sécurité constituent l'état de l'art et que, bien que non impératifs, ils constituent un référentiel pertinent pour évaluer les risques de sécurité
  • elle rappelle que l'obligation de sécurité implique de garantir la sécurité en fonction des risques. Il importe peu que les données aient fait l'objet d'une violation. L'absence de mesures suffisantes pour contrecarrer les risques constitue le manquement et le rend sanctionnable.
  • la durée de conservation annoncée par l'organisme dans sa charte de confidentialité est celle qui le lie. Il doit la respecter.
  • la durée de conservation doit être établie par finalité et un passage en archivage intermédiaire doit être réalisé
  • peu importe que le sous-traitant n'ait pas respecté ses instructions, il fallait suivre l'exécution du contrat et exercer un contrôle

Qu'en retenir ?

▶️ bien traiter les demandes des usagers en amont pour éviter les plaintes

▶️ revoir sa politique de confidentialité régulièrement

▶️ vérifier la cohérence avec les durées de conservation existantes

▶️ auditer régulièrement son site web et ses formulaires de connexion avec mot de passe

▶️ quand on fait appel à un sous-traitant, assurer le suivi des instructions

Nos ressources

Notre webinar sur les durées de conservation : https://www.dastra.eu/fr/guide/webinar-durees-conservation-rgpd/2523

et notre guide :

https://www.dastra.eu/fr/guide/fiche-pratique-les-durees-de-conservation/51968

Notre fiche pratique sur l'information des personnes : https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916

Notre fiche pratique sur les audits : https://www.dastra.eu/fr/guide/fiche-pratique-les-audits/51963

Testez gratuitement la plateforme vous permettant de vous assurer que ce type de sanctions ne vous arrivera pas ! C'est par ici ▶️ Test gratuit

A propos de l'auteur
Jérôme de Mercey
Jérôme de Mercey

Cofondateur de Dastra

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.