Le 8 septembre 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 250 000 euros à l’encontre du groupement d’intérêt économique Infogreffe. Elle lui reproche d’avoir manqué à plusieurs obligations du RGPD concernant les durées de conservation et de sécurité des données personnelles des utilisateurs du site web.
Le GIE Infogreffe édite depuis 1986 le service de diffusion de l’information légale et officielle sur les entreprises. Il édite notamment le Registre du commerce et des sociétés (RCS) à travers un site web et des services commerciaux associés.
Le site Infogreffe.fr permet de retrouver les informations sur les sociétés et les commerçants inscrits au RCS et de commander des documents certifiés par les greffes des tribunaux de commerce. Les utilisateurs qui souhaitent consulter des informations ou commander un acte payant sur le site doivent obligatoirement avoir un compte et sont donc considérés comme des membres. Lorsque l’utilisateur crée un compte il doit renseigner des champs obligatoires tels que le nom, prénom, adresse postale et électronique, téléphone fixe ou portable et choix d’une question secrète et sa réponse.
Les différentes missions de ce GIE impliquent donc de traiter certaines données ayant un caractère personnel. De ce fait, le groupement doit se conformer aux exigences du RGPD relatives à la protection des données personnelles.
En décembre 2020, un utilisateur du site Infogreffe.fr a saisi la CNIL en dénonçant des failles relatives à la facilité d’accès à des tiers du mot de passe.
L’autorité administrative indépendante décide alors de vérifier si des manquements sont constatables sur le site du groupement en question. Les vérifications, en plus de porter sur les failles concernant les mots de passe, ont permis de constater des infractions relatives aux durées de conservation de certaines données.
Après de longues investigations, la CNIL a pu remarquer plusieurs infractions concernant le traitement des données personnelles des utilisateurs du service Infogreffe et donc des manquements aux obligations posées par le RGPD.
Sur les manquements relatifs à la conservation des données à caractère personnel
Le site Infogreffe prévoyait dans sa charte de confidentialité de ne pas conserver les données des utilisateurs du service plus de 36 mois à compter de la dernière commande de prestation. Il s’agissait ici des données que l’utilisateur rentre sur le site lorsqu’il s’y inscrit pour devenir membre. Cependant, après vérifications il s’avère que l’organisme conserve les données de 25% des utilisateurs au-delà de ce délai prévu.
Il s’agit donc d’une infraction à l’article 5 du RGPD et plus précisément au principe de la limitation de la conservation. Cet article prévoit que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées… ».
En clair, cela signifie qu’un organisme comme Infogreffe peut conserver des données à caractère personnel des utilisateurs pendant une durée qu’elle aura préalablement défini. Cette durée doit être proportionnée à la finalité de l’activité de traitement et des exigences légales en matière de limitation de la conservation.
Le rapporteur a donc relevé en l’espèce qu’aucune procédure de suppression automatique des données à caractère personnel n’avait été prévue par le GIE et que les données étaient conservées pour des durées excessives par rapport à leur finalité.
L’entreprise a indiqué faire un nettoyage des comptes inactifs depuis plus de 36 mois à la suite du contrôle de la CNIL.
Sur les manquements relatifs à la sécurité des données à caractère personnel
Lors de la création d’un compte sur le site Infogreffe.fr, l’utilisateur doit choisir un mot de passe qui permettra de sécuriser son compte. Cependant, après la mission de contrôle de la CNIL, le rapporteur constate que les mots de passe des membres sont d’une robustesse insuffisante. En effet, ils sont limités à 8 caractères, ne demandent aucun critère de complexité et ne sont associés à aucune mesure de sécurité complémentaire. En réalité, les limitations prévues par le site concernant les mots de passe des utilisateurs les empêchent de créer un mot de passe suffisamment sécurisé.
De plus, l’organisme transmet des mots de passe temporaires non cryptés aux utilisateurs. Elle conserve aussi en clair dans sa base de données les mots de passe ainsi que les questions et réponses secrètes des utilisateurs.
Enfin, le GIE ne notifie pas l’utilisateur d’un changement de mot de passe, ce qui veut dire qu’un changement de mot de passe frauduleux ne sera pas su par le membre avant qu’il ne se reconnecte sur le site.
Il faut aussi savoir que la personne ayant engagé la procédure au près de la CNIL avait contacté l’organisme par téléphone car elle avait perdu son mot de passe et ce dernier a pu lui être communiqué après avoir simplement donné son nom… Ce qui constitue encore une fois une vigilance assez faible concernant les données confidentielles des utilisateurs.
Tous ces manquements constituent une infraction à l’article 32 du RGPD qui prévoit la sécurité du traitement et plus précisément le chiffrement des données à caractère personnel, qui suppose que celles-ci doivent être cryptées par l’organisme qui les traite. Dans les faits, elles doivent donc rendre les informations des utilisateurs illisibles pour ceux qui voudraient les acquérir illégalement. Si le contenu est crypté, alors le texte sera impossible déchiffrer à la fois pour le lecteur et pour l’ordinateur. Le cryptage garantit donc la confidentialité des informations.
Comme pour la violation de l’article 5 du RGPD, le groupement affirme avoir pris certaines mesures pour assurer la sécurité des données traitées. Ceci est confirmé car après avoir créé un compte sur Infogreffe et avoir demandé la réinitialisation du mot de passe, l’entreprise n’envoie plus les identifiants en clair.
Une sanction dure mais logique
Depuis 2018 et l’entrée en vigueur du RGPD, les autorités administratives européennes comme la CNIL ont vu leur pouvoir de sanction s’accroître. En effet, avant 2018, les amendes prononcées à l’encontre des entreprises en cas d’insuffisance quant à la protection des données personnelles des utilisateurs étaient plus que dérisoires.
De plus, elles étaient souvent prononcées à des grosses sociétés qui préféraient payer une faible amende plutôt que de se conformer aux dispositions législatives.
Cependant, depuis que le RGPD est effectif, les sanctions de la CNIL deviennent de plus en plus dissuasives et importantes. Elles peuvent maintenant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise selon quelle somme est la plus élevée.
Pour définir le montant précis de l’amende prononcée la formation restreinte prend en considération plusieurs critères comme c’est le cas dans l’affaire Infogreffe.
Tout d’abord il faut rappeler que l’article 83 du RGPD prévoit que les autorités de contrôle doivent veiller à ce que les amendes soient, dans chaque cas, effectives, proportionnées et dissuasives.
La CNIL, pour apprécier le montant de l’amende, a pris en compte la nature de l’acteur concerné. Ici, le GIE regroupe de nombreux greffiers des tribunaux de commerce. Ces derniers, en plus d’être des officiers publics et ministériels sont aussi des juristes ; il apparaît donc normal d’être sévères car l’organisme aurait dû faire preuve d’une particulière rigueur.
De plus, les manquements constatés ne sont pas des principes qui sont apparus avec la venue du RGPD. En effet, les infractions dont s’est rendu coupable Infogreffe datent de la loi « Informatique et Libertés » qui est entrée en vigueur en 1978. Encore une fois ce n’est pas un élément qui joue en la faveur du groupement.
Néanmoins, la formation restreinte souligne, à juste titre, les efforts faits par l’organisme pendant la procédure de la CNIL. Ces efforts ont permis au groupement d’être presque conforme aux dispositions du RGPD avant la décision de l’autorité. Toutefois, ils ne peuvent pas exonérer l’entreprise de toute responsabilité. C’est pour cela que la CNIL décide de la sanctionner d’une amende s’élevant à 250 000 euros.
Enfin, concernant la publicité de la sanction, elle est aussi une des nouveautés apportées par le RGPD. Elle a une fonction dissuasive mais aussi une fonction informative. Les personnes se rendant sur le site de la CNIL ou sur Légifrance pourront voir si telle ou telle entreprise a été sanctionnée ou non.
En résumé cette sanction est lourde mais juste car si la sanction n’est pas suffisamment dissuasive elle n’aura aucun ou très peu d’intérêt.
Sources :