[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f7c5BmTsXPPWOhvw3YuaLXBGJiKZfZk2ZkaxfC4ybjUc":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":68,"imageUrl":69,"imageThumbUrls":70,"id":78},false,"## Sanction\r\n\r\nLa CNIL a publié ce matin la [**sanction** ](https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all)**de 250 000 euros** qu'elle a infligée au GIE Infogreffe.\r\n\r\n## Manquements\r\n\r\nLe 8 septembre 2022, la formation restreinte de la CNIL a sanctionné le groupement d'intérêt économique Infogreffe d’une amende de 250 000 euros pour non-respect des articles 5.1.e et 32 du Règlement Général de la Protection des Données (RGPD).\r\n\r\nCes articles soumettent le responsable de traitement à l’obligation de conserver les données dans une durée proportionnée à la finalité du traitement (art. 5.1.e), et à l’obligation d’assurer la sécurité des données personnelles (art. 32).\r\n\r\n### Sécurité\r\n\r\nLa Commission a constaté plusieurs manquements augmentant le risque d’une attaque informatique par des tiers non autorisés.\r\n\r\nTout d’abord, la robustesse des mots de passe a été jugée insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. Le risque d’attaque, qui consiste à tester successivement et de façon systématique de nombreux mots de passe, est important.\r\n\r\nEncore, l’organisme envoyait les mots de passe non temporaires en clair à l’utilisateur par email, permettant l’accès à son compte. De ce fait, si un tiers, autorisé ou non autorisé, a accès à la messagerie, celui-ci peut récupérer le mot de passe et l’utiliser afin d’accéder au compte Infogreffe.\r\n\r\nAutre problème, l’utilisateur ne recevait aucune alerte ou demande de confirmation en cas de changement du mot de passe. Il n’est donc pas protégé contre les tentatives d’usurpation de son compte.\r\n\r\nLa formation restreinte de la CNIL constate alors des mesures insuffisantes pour garantir la sécurité des données, sans qu’il ne soit nécessaire de caractériser une violation de données.\r\n\r\n### Conservation\r\n\r\nLe groupement Infogreffe prévoyait, dans sa Charte de confidentialité, que les données collectées et traitées seraient conservées pour une durée de 36 mois à compter de la dernière commande de prestation et/ou document.\r\n\r\nPourtant, Infogreffe a fourni à la délégation de la CNIL un fichier de tableur dont il ressort qu’un quart des comptes ont été conservés au-delà de 36 mois à compter de la dernière commande, formalité ou facture sur le site “infogreffe.fr”.\r\n\r\nInfogreffe conteste la décision, en expliquant que d’autres finalités, comme une opération de recouvrement, peuvent justifier la conservation pour une durée supérieure à 36 mois.\r\n\r\nLa formation restreinte de la CNIL rappelle que si certaines finalités justifient une conservation des données personnelles supérieure à 36 mois, c’est à la condition que différentes actions soient réalisées, ce que Infogreffe ne démontre pas dans cette affaire.\r\n\r\nIl est également reproché à l’organisme de n’avoir mis en place aucune procédure de suppression automatique des données personnelles dès lors que la durée de conservation excède les 36 mois, et aucune procédure d’anonymisation automatique. Les comptes étaient, ainsi, conservés sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs.\r\n\r\n## Faits intéressants\r\n\r\n- une plainte de décembre 2020 est l'origine du contrôle en ligne\r\n- dans le contrôle en ligne, la charte de confidentialité a été récupérée\r\n- elle cite ses propres sanctions en tant que référence pour l'obligation de sécurité des mots de passe (Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte).\r\n- elle rappelle que l'obligation n'est pas nécessairement sanctionnée au moment T mais aussi par le passé (la période couverte par l'absence de sécurité des mots de passe remontait à 2002\r\n- elle indique que les recommandations mots de passe et guide de la sécurité constituent l'état de l'art et que, bien que non impératifs, ils constituent un référentiel pertinent pour évaluer les risques de sécurité\r\n- elle rappelle que l'obligation de sécurité implique de garantir la sécurité en fonction des risques. Il importe peu que les données aient fait l'objet d'une violation. L'absence de mesures suffisantes pour contrecarrer les risques constitue le manquement et le rend sanctionnable.\r\n- la durée de conservation annoncée par l'organisme dans sa charte de confidentialité est celle qui le lie. Il doit la respecter.\r\n- la durée de conservation doit être établie par finalité et un passage en archivage intermédiaire doit être réalisé\r\n- peu importe que le sous-traitant n'ait pas respecté ses instructions, il fallait suivre l'exécution du contrat et exercer un contrôle\r\n\r\n## Qu'en retenir ?\r\n\r\n▶️ bien traiter les demandes des usagers en amont pour éviter les plaintes\r\n\r\n▶️ revoir sa politique de confidentialité régulièrement\r\n\r\n▶️ vérifier la cohérence avec les durées de conservation existantes\r\n\r\n▶️ auditer régulièrement son site web et ses formulaires de connexion avec mot de passe\r\n\r\n▶️ quand on fait appel à un sous-traitant, assurer le suivi des instructions\r\n\r\n## Nos ressources\r\n\r\nNotre webinar sur les durées de conservation : \u003Chttps://www.dastra.eu/fr/guide/webinar-durees-conservation-rgpd/2523>\r\n\r\net notre guide :\r\n\r\n\u003Chttps://www.dastra.eu/fr/guide/fiche-pratique-les-durees-de-conservation/51968>\r\n\r\nNotre fiche pratique sur l'information des personnes : \u003Chttps://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916>\r\n\r\nNotre fiche pratique sur les audits : \u003Chttps://www.dastra.eu/fr/guide/fiche-pratique-les-audits/51963>","\u003Ch2 id=\"sanction\">Sanction\u003C/h2>\r\n\u003Cp>La CNIL a publié ce matin la \u003Ca href=\"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all\" rel=\"nofollow\">\u003Cstrong>sanction\u003C/strong> \u003C/a>\u003Cstrong>de 250 000 euros\u003C/strong> qu'elle a infligée au GIE Infogreffe.\u003C/p>\r\n\u003Ch2 id=\"manquements\">Manquements\u003C/h2>\r\n\u003Cp>Le 8 septembre 2022, la formation restreinte de la CNIL a sanctionné le groupement d'intérêt économique Infogreffe d’une amende de 250 000 euros pour non-respect des articles 5.1.e et 32 du Règlement Général de la Protection des Données (RGPD).\u003C/p>\r\n\u003Cp>Ces articles soumettent le responsable de traitement à l’obligation de conserver les données dans une durée proportionnée à la finalité du traitement (art. 5.1.e), et à l’obligation d’assurer la sécurité des données personnelles (art. 32).\u003C/p>\r\n\u003Ch3 id=\"securite\">Sécurité\u003C/h3>\r\n\u003Cp>La Commission a constaté plusieurs manquements augmentant le risque d’une attaque informatique par des tiers non autorisés.\u003C/p>\r\n\u003Cp>Tout d’abord, la robustesse des mots de passe a été jugée insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. Le risque d’attaque, qui consiste à tester successivement et de façon systématique de nombreux mots de passe, est important.\u003C/p>\r\n\u003Cp>Encore, l’organisme envoyait les mots de passe non temporaires en clair à l’utilisateur par email, permettant l’accès à son compte. De ce fait, si un tiers, autorisé ou non autorisé, a accès à la messagerie, celui-ci peut récupérer le mot de passe et l’utiliser afin d’accéder au compte Infogreffe.\u003C/p>\r\n\u003Cp>Autre problème, l’utilisateur ne recevait aucune alerte ou demande de confirmation en cas de changement du mot de passe. Il n’est donc pas protégé contre les tentatives d’usurpation de son compte.\u003C/p>\r\n\u003Cp>La formation restreinte de la CNIL constate alors des mesures insuffisantes pour garantir la sécurité des données, sans qu’il ne soit nécessaire de caractériser une violation de données.\u003C/p>\r\n\u003Ch3 id=\"conservation\">Conservation\u003C/h3>\r\n\u003Cp>Le groupement Infogreffe prévoyait, dans sa Charte de confidentialité, que les données collectées et traitées seraient conservées pour une durée de 36 mois à compter de la dernière commande de prestation et/ou document.\u003C/p>\r\n\u003Cp>Pourtant, Infogreffe a fourni à la délégation de la CNIL un fichier de tableur dont il ressort qu’un quart des comptes ont été conservés au-delà de 36 mois à compter de la dernière commande, formalité ou facture sur le site “infogreffe.fr”.\u003C/p>\r\n\u003Cp>Infogreffe conteste la décision, en expliquant que d’autres finalités, comme une opération de recouvrement, peuvent justifier la conservation pour une durée supérieure à 36 mois.\u003C/p>\r\n\u003Cp>La formation restreinte de la CNIL rappelle que si certaines finalités justifient une conservation des données personnelles supérieure à 36 mois, c’est à la condition que différentes actions soient réalisées, ce que Infogreffe ne démontre pas dans cette affaire.\u003C/p>\r\n\u003Cp>Il est également reproché à l’organisme de n’avoir mis en place aucune procédure de suppression automatique des données personnelles dès lors que la durée de conservation excède les 36 mois, et aucune procédure d’anonymisation automatique. Les comptes étaient, ainsi, conservés sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs.\u003C/p>\r\n\u003Ch2 id=\"faits-interessants\">Faits intéressants\u003C/h2>\r\n\u003Cul>\r\n\u003Cli>une plainte de décembre 2020 est l'origine du contrôle en ligne\u003C/li>\r\n\u003Cli>dans le contrôle en ligne, la charte de confidentialité a été récupérée\u003C/li>\r\n\u003Cli>elle cite ses propres sanctions en tant que référence pour l'obligation de sécurité des mots de passe (Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte).\u003C/li>\r\n\u003Cli>elle rappelle que l'obligation n'est pas nécessairement sanctionnée au moment T mais aussi par le passé (la période couverte par l'absence de sécurité des mots de passe remontait à 2002\u003C/li>\r\n\u003Cli>elle indique que les recommandations mots de passe et guide de la sécurité constituent l'état de l'art et que, bien que non impératifs, ils constituent un référentiel pertinent pour évaluer les risques de sécurité\u003C/li>\r\n\u003Cli>elle rappelle que l'obligation de sécurité implique de garantir la sécurité en fonction des risques. Il importe peu que les données aient fait l'objet d'une violation. L'absence de mesures suffisantes pour contrecarrer les risques constitue le manquement et le rend sanctionnable.\u003C/li>\r\n\u003Cli>la durée de conservation annoncée par l'organisme dans sa charte de confidentialité est celle qui le lie. Il doit la respecter.\u003C/li>\r\n\u003Cli>la durée de conservation doit être établie par finalité et un passage en archivage intermédiaire doit être réalisé\u003C/li>\r\n\u003Cli>peu importe que le sous-traitant n'ait pas respecté ses instructions, il fallait suivre l'exécution du contrat et exercer un contrôle\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"quen-retenir\">Qu'en retenir ?\u003C/h2>\r\n\u003Cp>▶️ bien traiter les demandes des usagers en amont pour éviter les plaintes\u003C/p>\r\n\u003Cp>▶️ revoir sa politique de confidentialité régulièrement\u003C/p>\r\n\u003Cp>▶️ vérifier la cohérence avec les durées de conservation existantes\u003C/p>\r\n\u003Cp>▶️ auditer régulièrement son site web et ses formulaires de connexion avec mot de passe\u003C/p>\r\n\u003Cp>▶️ quand on fait appel à un sous-traitant, assurer le suivi des instructions\u003C/p>\r\n\u003Ch2 id=\"nos-ressources\">Nos ressources\u003C/h2>\r\n\u003Cp>Notre webinar sur les durées de conservation : \u003Ca href=\"https://www.dastra.eu/fr/guide/webinar-durees-conservation-rgpd/2523\">https://www.dastra.eu/fr/guide/webinar-durees-conservation-rgpd/2523\u003C/a>\u003C/p>\r\n\u003Cp>et notre guide :\u003C/p>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/guide/fiche-pratique-les-durees-de-conservation/51968\">https://www.dastra.eu/fr/guide/fiche-pratique-les-durees-de-conservation/51968\u003C/a>\u003C/p>\r\n\u003Cp>Notre fiche pratique sur l'information des personnes : \u003Ca href=\"https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916\">https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916\u003C/a>\u003C/p>\r\n\u003Cp>Notre fiche pratique sur les audits : \u003Ca href=\"https://www.dastra.eu/fr/guide/fiche-pratique-les-audits/51963\">https://www.dastra.eu/fr/guide/fiche-pratique-les-audits/51963\u003C/a>\u003C/p>\r\n",null,908,5,"Infogreffe : sanction de 250 000 euros par la CNIL",0,"fr","infogreffe-sanction-de-250-000-euros-par-la-cnil","La Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné Infogreffe d’une amende de 250 000 euros pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":20,"blogUrl":21,"color":7,"userId":17,"creationDate":22},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu","2021-11-15T12:57:57","2022-09-13T08:56:00","2022-09-13T08:56:03.6421381","2026-01-22T10:07:26.2812445",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":12,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42,47],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":43},[44,45,46],{"lang":12,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},{"id":48,"name":49,"description":50,"url":51,"color":52,"parentId":27,"count":7,"imageUrl":7,"parent":53,"order":11,"translations":58},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":54},[55,56,57],{"lang":12,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},[59,62,65],{"lang":12,"name":60,"description":61},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":36,"name":63,"description":64},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":39,"name":66,"description":67},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",[],"https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-1000.png",[71,72,73,74,75,76,77],"https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-1000.webp","https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729.webp","https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-1500.webp","https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-800.webp","https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-600.webp","https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-300.webp","https://static.dastra.eu/content/7fec84b4-0139-424c-bff8-daa97a38091d/capture-dcran-2022-09-13-110729-100.webp",52722]