La CNIL a infligé une amende de 250 000 euros à la société Infogreffe pour avoir conservé trop longtemps et de manière non sécurisée les données personnelles des utilisateurs de son site Internet.
La Commission nationale de l’informatique et des libertés avait été saisie d’une plainte d’un utilisateur d’Infogreffe dénonçant la facilité d’accès des tiers à son mot de passe. Elle a alors constaté « plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service », qui permet de consulter de manière payante des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce, explique-t-elle dans un communiqué.
En cause, la conservation d’informations bancaires, noms, prénoms, adresses et plus encore au-delà des 36 mois prévus par le site pour les comptes inactifs, qui concernait un quart des utilisateurs, et l’absence de procédure d’anonymisation automatique. Également dans le viseur de la CNIL, l’absence de « mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs » d’Infogreffe. Il était notamment « impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille », relève la CNIL.
En outre, Infogreffe transmettait en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et les conservait, toujours en clair, dans sa base de données.
Cette sanction a été prise en coopération avec les autres autorités européennes concernées, le site comptant des comptes d’utilisateurs dans tous les pays membres de l’UE. Elle est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois.
