La Cnil a infligé une amende de 250.000 euros à la société Infogreffe pour avoir conservé trop longtemps et de manière non sécurisée les données personnelles des utilisateurs de son site internet, selon une délibération rendue publique ce mardi 13 septembre.
La Commission nationale de l’informatique et des libertés avait été saisie d’une plainte d’un utilisateur d’Infogreffe dénonçant la facilité d’accès des tiers à son mot de passe.
Elle a alors constaté «plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service», qui permet de consulter de manière payante des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce, explique-t-elle dans un communiqué.
En cause, la conservation d’informations bancaires, noms, prénoms, adresses, etc. au delà des 36 mois prévus par le site pour les comptes inactifs, qui concernait un quart des utilisateurs, et l’absence de procédure d’anonymisation automatique.
Egalement dans le viseur de la Commission nationale de l’informatique et des libertés, l’absence de «mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs» d’Infogreffe.
Il était notamment «impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille», relève la Cnil.
En outre, Infogreffe «transmettait en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes» et les conservait, toujours en clair, dans sa base de données.
Créé en 1986 par les greffiers des tribunaux de commerce, le GIE (groupement d’intérêt économique) Infogreffe a de son côté lancé, depuis le contrôle, «une purge des comptes inactifs depuis plus de 36 mois» et «mis en oeuvre certaines actions» en matière de sécurisation, selon la Commission nationale de l’informatique et des libertés (Cnil).
Cette sanction a été «prise en coopération avec les autres autorités européennes concernées», le site comptant des comptes d’utilisateurs dans tous les pays membres de l’Union Européenne.
Elle «est susceptible de faire l’objet d’un recours devant le Conseil d’État» dans un délai de deux mois, est-il précisé dans la délibération.
