Les amendes de la CNIL se suivent et se ressemblent. Une des dernières en date est celle de 250.000 euros, prononcée à l’encontre d’Infogreffe (GIE des greffes des Tribunaux de Commerce de France). Ne vous étonnez pas si les frais de greffe augmentent dans les prochains mois !
Il suffit souvent d’une seule plainte pour déclencher un contrôle — et une sanction — de la CNIL.
Le 12 décembre 2020, la CNIL a été saisie d’une plainte d’un utilisateur indiquant que les mots de passe étaient stockés en clair et qu’il avait été capable d’obtenir son mot de passe par téléphone en donnant son nom à l’interlocutrice du service d’assistance téléphonique.
Il n’en fallut pas plus pour que la CNIL se mette en ordre de bataille et décide de réaliser un contrôle. Deux manquements sont reprochés à Infogreffe.
Durées de conservation : qui peut le moins peut le mieux
La CNIL a constaté qu’Infogreffe informait les utilisateurs de son site que leurs données étaient conservées pendant 36 mois à compter de la dernière commande de prestation et/ou de document. Toutefois, il ressortait des pièces du contrôle qu’Infogreffe conservait des données de près d’un million d’utilisateurs depuis plus de 36 mois et ce, sans justifier d’un contact récent avec ces utilisateurs. Aucune procédure de suppression (automatique ou manuelle) n’était mise en œuvre par Infogreffe.
La CNIL a considéré qu’Infogreffe avait manqué à ses obligations de conserver les données des utilisateurs pour une durée pertinente et n’excédant pas les finalités pour lesquelles elles sont conservées.
La CNIL apporte deux précisions importantes :
– les données d’utilisateurs peuvent être conservées plus longtemps, par exemple pour des opérations de recouvrement ou dans le cadre d’une éventuelle procédure contentieuse. Dans ce cas, les données doivent être archivées soit dans la même base de données mais avec une séparation logique, soit dans une base d’archive dédiée, et, dans tous les cas, avec un accès restreint aux seules personnes habilitées ;
– même si un sous-traitant est chargé d’anonymiser les données et que des instructions précises lui ont été fournies, il est impératif de réaliser un contrôle régulier des mesures mises en œuvre par celui-ci.
Mesures de sécurité : qui peut le plus peut le mieux
La CNIL a constaté plusieurs défaillances d’Infogreffe quant à la gestion des mots de passe des comptes des utilisateurs. Les mots de passe étaient : insuffisamment robustes (composés de maximum 8 caractères), conservés en clair dans les bases de données d’Infogreffe avec les réponses aux questions secrètes et envoyés en clair dans les emails de « mot de passe perdu ».
Infogreffe ne confirmait pas à l’utilisateur la modification de son mot de passe, de sorte qu’il ne pouvait pas être alerté si son compte était usurpé et aucune mesure de sécurité complémentaire n’était associée aux mots de passe.
La CNIL a considéré que les données personnelles des utilisateurs d’Infogreffe, accessibles par l’intermédiaire de leurs comptes, étaient insuffisamment protégées.
Dernière précision : la CNIL considère que la mise en conformité d’Infogreffe à d’autres obligations légales et règlementaires n’était pas une excuse pour négliger le RGPD. Alors, n’attendez plus !