Le registre du commerce et des sociétés est aujourd’hui sanctionné par la CNIL par une amende de 250 000 euros pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.
Une amende de 250 000€ pour Infogreffe
Le 13 septembre 2022, la CNIL a prononcée une sanction de 250 000 euros à l’encontre du registre du commerce et des sociétés Infogreffe, pour manquement au RGPD en matière de durées de conservation et de sécurité des données personnelles.
Suite à une plainte dont elle a été saisie, la CNIL a procédé à un contrôle en ligne du site web infogreffe.fr, qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.
Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service, dont un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement.
Une durée de conservation des données de plus de 36 mois
Infogreffe.fr prévoyait que les données personnelles des membres et abonnés seraient conservées 36 mois à compter de la dernière commande de prestation et/ou document. Pourtant, la CNIL a constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus. L’anonymisation manuelle mise en œuvre, uniquement sur demande des utilisateurs, ne concernait qu’une très faible quantité de comptes.
Aussi, un manquement relatif à l’obligation d’assurer la sécurité des données personnelles a été sanctionné.
Une faille de sécurité
La CNIL a également constaté que l’organisme n’impose pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et qu’il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille.
En conséquence, la CNIL a considéré que Infogreffe n’avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs concernés.
