À la suite d’une plainte dont elle a été saisie, la CNIL a investigué le site infogreffe.fr qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.
La CNIL a relevé plusieurs manquements à règlementation relative à la protection des données personnelles notamment :
- Un manquement relatif aux durées de conversation (article 5.1.e du RGPD)
Le site prévoyait une durée de conservation des comptes utilisateurs de 36 mois à compter de la dernière commande de prestation ou de document. Cependant, la CNIL a constaté que les données de 25% des utilisateurs n’ont pas été purgées alors que le délai de 36 mois était dépassé.
- Un manquement relatif à la sécurité des données personnelles (article 32 du RGPD)
La CNIL a constaté que le site n’imposait pas l’utilisation d’un mot de passe suffisamment robuste et suffisamment long. De plus, le site transmettait les mots de passe en clair par e-mail, et stockait dans sa base de données les mots de passe ainsi que les questions secrètes des utilisateurs en clair.
Pour aller plus loin :
- Article de la CNIL, Sanction de 250 000 euros à l’encontre d’ INFOGREFFE, 13 septembre 2022
- Les durées de conservation :
https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees, 28 juillet 2020
3. La sécurité des mots de passe :
- https://www.cnil.fr/fr/securite-des-donnees
- https://www.cnil.fr/fr/mot-de-passe, 21 novembre 2018
4. Articles du RGPD :
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32
