La Commission nationale de l’informatique et des libertés (CNIL) confirme une position stricte concernant la conformité des entreprises au Règlement général sur la protection des données (RGPD) en sanctionnant Infogreffe d’une amende de 250 000e. Le groupement a manqué à ses obligations en ne protégeant pas suffisamment les données personnelles de ses abonnées et de ses membres.
Après avoir été saisie d’une plainte à l’encontre de l’organisme, la CNIL a ouvert une enquête qui a révélé que le site web avait mis en place des mesures insuffisantes pour garantir la sécurité des données traitées. Le groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce de France permet à ses utilisateurs de consulter des informations légales sur les entreprises ainsi que de commander des documents certifiés par les greffes des tribunaux de commerce.
Selon l’article 5 du RGPD les données à caractère personnel ne doivent pas être conservées au-delà d’une durée strictement nécessaire au regard des finalités pour lesquelles elles sont traitées. Infogreffe, dans sa charte de confidentialité, dispose que les données personnelles de ses utilisateurs ne doivent pas être sauvegardées plus de 36 mois. Or, aucune procédure de suppression des informations n’a été établie et plus de 25% des comptes ont été conservés au-delà de la période nécessaire.
De plus, un manquement à l’article 32 du RGPD a été relevé. Le mot de passe de connexion des utilisateurs ne bénéficie pas d’une protection suffisante comme le requière l’article 32 du RGPD. D’une part, il est d’une complexité insuffisante (seulement limité à 8 caractères), et l’utilisateur n’est pas informé de son changement lorsqu’il est opéré. Le rapporteur considère que les utilisateurs ne sont pas protégés contre les tentatives d’usurpations de leurs comptes. A charge pour Infogreffe de faire appel de cette décision qui constituera peut-être un nouveau chapitre. Avocats Picovschi suit pour vous l’actualité et ne manque pas de vous tenir informé.