I. Les faits

INFOGREFFE est un organisme qui édite le service de diffusion de l’information légale et officielle sur les entreprises à travers plusieurs canaux, notamment le site web « infogreffe.fr ».

Le 12 décembre 2020, la CNIL a été saisie d’une plainte à l’encontre de l’organisme, d’une personne physique indiquant que le site web « infogreffe.fr » conservait les mots de passe des utilisateurs en clair et qu’elle avait été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.

Par conséquent, la formation restreinte de la CNIL a effectué un contrôle en ligne le 4 mars 2021 sur le site « infogreffe.fr » à l’issue duquel elle a prononcé une amende de 250 000 euros à l’encontre d’INFOGREFFE. Les vérifications portaient notamment sur les durées de conservations définies et les mesures de sécurité mises en œuvre par le GIE INFOGREFFE, qui édite le service de diffusion de l’information légale et officielle sur les entreprises à travers le site web.
Lors des investigations, la CNIL a notamment relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service (les personnes ayant créé un compte pour la visualisation ou la commande d’un acte et les personnes abonnées disposant d’un abonnement annuel).

II. Les motifs de la décision

A- Un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement (article 5.1.e du RGPD)

Le site web infogreffe.fr prévoyait que les données personnelles des membres et abonnés (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse) seraient conservées 36 mois à compter de la dernière commande de prestation et/ou document.

Pourtant, la CNIL a constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus. L’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes.

L’organisme a indiqué, au cours de la procédure, qu’une purge des comptes inactifs depuis plus de 36 mois était mise en œuvre depuis le contrôle.

B- Un manquement relatif à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

La CNIL a également constaté que l’organisme n’imposait pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et qu’il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille.

En outre, INFOGREFFE transmettait en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.

En conséquence, la CNIL a considéré que le GIE INFOGREFFE n’avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs concernés.

L’organisme a toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés.