La CNIL inflige une sanction de 250 000 euros à l’encontre d’INFOGREFFE
Infogreffe a été sanctionné pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles de ses utilisateurs.
Un contrôle effectué à la suite d’une plainte Après avoir été saisie, la CNIL a effectué un contrôle en ligne du site web infogreffe.fr. Les vérifications portaient notamment sur les durées de conservations définies et les mesures de sécurité mises en œuvre par Infogreffe.
La CNIL a constaté plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service et a administré une amende à l’encontre d’Infogreffe qui s’élève à 250 000 euros. Cette décision a été prise en coopération avec les autres autorités européennes concernées car des comptes utilisateurs ont été créés depuis plusieurs États membres de l’Union européenne.
>> LISEZ AUSSI: SLe nombre d’amendes liées au RGPD augmente en Europe
Amende sévère en raison de la situation financière de l’entreprise
Malgré le fait qu’il s’agisse d’une plainte isolée, la sanction infligée par la CNIL reste sévère. La Commission nationale de l'informatique et des libertés rappelle que les amendes administratives doivent être à la fois dissuasives et proportionnées. Elle souligne qu’elle tient compte de l’activité de l’organisme et de sa situation financière.
Manquements relatifs à la durée de conservation des données Le site web infogreffe.fr informe les internautes que les données personnelles des membres et abonnés (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse) seraient conservées 36 mois à compter de la dernière commande de prestation et/ou document.
Pourtant, l’enquête effectuée par la CNIL a conclu qu’un utilisateur sur quatre faisait l’objet d’une durée de conservation au-delà des délais prévus. L’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes.
Manquements ralatifs à la sécurité
Selon la CNIL, la politique de mots de passe chez Infogreffe était insatisfaisante. Dans son rapport, la commission cite plusieurs manquements au niveau de la sécurité et précise que le risque de subir des attaques par « force brute » ou par « dictionnaire » était très élevé.
Parmi les erreurs repérées au niveau de la sécurisation des données nous pouvons citer :
- La transmission en clair les mots de passe définitifs par mail ;
- Le stockage de ces mots de passe en clair dans la base de données ;
- La conservation en clair les questions et réponses secrètes utilisées pour réinitialiser les mots de passe ;
- La limitation imposée de la taille de mots de passe (8 caractères max);
- Le manque de critères de complexité pour accroître leur robustesse ;
- L'absence de mesures de sécurité complémentaires.
Dans son communiqué, la CNIL précise que “l’organisme a toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés”.
Vous n’êtes pas sûr de remplir toutes les exigences du RGPD ? HOSTEUR peut vous aider à être conforme au RGPD.
Sources : CNIL
La revue du digital
Numerama