Le GIE écope d’une amende de 250 000 euros pour une série de manquements à la protection des données personnelles de ses utilisateurs, entre défaut de sécurisation et conservation trop longue.
En décembre 2020, la Cnil a été saisie d’une plainte contre le site infogreffe.fr. En effet, un utilisateur a constaté que le GIE (groupement d’intérêt économique) conservait les mots de passe en clair, et a pu obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique. Ni une ni deux, le gendarme des données personnelles a mené plusieurs contrôles et la sanction vient de tomber : ses différents manquements à la loi Informatique et Libertés valent à INFOGREFFE une amende de 250 000 euros.
En effet, Le site web infogreffe.fr prévoyait que les données personnelles des membres et abonnés seraient conservées 36 mois à compter de la dernière commande de prestation et/ou document. Or il conservait les données de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture pour les abonnés, datait de plus de 36 mois. D’autant qu’aucune procédure de suppression automatique n’était en place.
Mots de passe en clair
Si le GIE est rentré dans le rang et a, au cours de la procédure, amorcé une purge des comptes inactifs depuis plus de 36 mois, aux yeux de la Cnil le manquement reste caractérisé. S’y ajoutent plusieurs défauts en matière de sécurité. A commencer par l’impossibilité de saisir es mots de passe forts à l’inscription sur le site « en raison de la limitation de leur taille à 8 caractères maximum ».
Pire encore, INFOGREFFE conservait, dans sa base de données, en clair les les mots de passe ainsi que les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs, et transmettaient, là encore en clair, les mots de passe non temporaires permettant d’accéder aux comptes utilisateurs.
Enfin, « l’organisme ne confirme pas non plus à l’utilisateur la modification de son mot de passe. Le rapporteur considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée, n’est donc à ce titre pas protégé contre les tentatives d’usurpation de son compte ». Soit une accumulation de défaillances qui valent à INFOGREFFE d’écoper d’une amende et d’un rappel à l’ordre, bien que le GIE ait commencé à corriger le tir après les contrôles de la Cnil.