Jeudi 8 septembre 2022, la Cnil a constaté le non-respect du RGPD par Infogreffe et prononcé une sanction de 250 000 euros.

Saisie d’une plainte en 2020, la Cnil a sanctionné Infogreffe il y a quelques jours pour manquement aux obligations du Règlement général sur la protection des données (RGPD). Groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce de France, Infogreffe est une plateforme qui permet la consultation des informations légales des entreprises. Lors du contrôle de son site internet, le régulateur a constaté que la durée de conservation et les mesures de sécurité d’accès aux données en ligne n’étaient pas conformes au RGPD. La Commission a alors prononcé une amende de 250 000 euros à l’encontre de l’organisme.

Les manquements sanctionnés

Le règlement établit que les données à caractère personnel ne doivent pas être conservées au-delà de la durée nécessaire. Conformément à sa charte de confidentialité, Infogreffe ne devait pas garder les informations de ses membres plus de trente-six mois. Pourtant, la procédure de contrôle de la Cnil relève ʺqu’aucune procédure de suppression automatique des données à caractère personnel n’a été mise en placeʺ et que 25 % des utilisateurs faisaient l’objet d’une conservation excessive de leurs données. Une réalité reconnue par l’organisme qui a instauré une purge des comptes inactifs depuis plus de trente-six mois au cours de la procédure.

La Cnil a également constaté que le traitement des données par le GIE ne permettait pas de garantir la sécurité des données à caractère personnel. Défaut de pseudonymisation des mots de passe, conservations non cryptées et défaut de protection contre les tentatives d’usurpation de compte : la décision est sans appel et considère que ʺles mesures de sécurité mises en place par l’organisme ne lui permettaient pas d’assurer un niveau de sécurité suffisant des données à caractère personnelʺ. Au cours de la procédure, Infogreffe a souhaité corriger la situation mais la Cnil rappelle que ʺles mesures de conformité mises en place à la suite de la notification du rapport de sanction n’exonèrent pas l’organisme de sa responsabilité pour les manquements constatésʺ. La Commission de contrôle a maintenu l’amende administrative de 250 000 euros à l’encontre d’Infogreffe dont le président vient d’être réélu. Cette sanction reste par ailleurs bien inférieure à celles infligées par la Cnil au début du mois de juillet à Amazon ou à TotalEnergies,

Estève Duault