Le Quotidien du 21 septembre 2022 : Actualité

[Brèves] « RGPD » : la CNIL prononce une sanction de 250  000 euros à l’encontre du GIE INFOGREFFE

Réf. : CNIL, délibération SAN-2022-018, du 8 septembre 2022 N° Lexbase : X6590CNE

Lecture: 3 min

N2559BZS

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] « RGPD » : la CNIL prononce une sanction de 250  000 euros à l’encontre du GIE INFOGREFFE. Lire en ligne : https://www.lexbase.fr/article-juridique/88269491-breves-rgpd-la-cnil-prononce-une-sanction-de-250-000-euros-a-lencontre-du-gie-infogreffe
Copier

par Perrine Cathalo

le 20 Septembre 2022

► La CNIL a prononcé une sanction de 250 000 euros à l’encontre du GIE INFOGREFFE pour avoir manqué à plusieurs obligations du Règlement (UE) n° 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I en matière de durées de conservation et de sécurité des données personnelles. 

Faits et procédure. Après avoir été informée par une personne physique que l’organisme INFOGREFFE conservait les mots de passe de ses utilisateurs en clair et que cette personne avait été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique, la CNIL a décidé de réaliser une mission de contrôle sur le site « infogreffe.fr », qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.

C’est ainsi que la CNIL a relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs de la plateforme, plus particulièrement à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement et à celle d’assurer la sécurité des données personnelles.

En particulier, le GIE informait les utilisateurs que leurs données personnelles étaient conservées pendant trente-six mois à compter de la dernière commande de prestation ou de document. Pourtant, le contrôle de la CNIL a révélé que les données de 25 % des utilisateurs faisaient l’objet d’une durée de conservation au-delà de ces trente-six mois.

S’agissant de la sécurité des données personnelles, la CNIL a également relevé que l’organisme n’imposait pas l’utilisation d’un mot de passe robuste, en plus de transmettre par courriel les mots de passe non temporaires permettant l’accès aux comptes et de conserver en clair dans sa base de données les mots de passe et les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs. Or, la CNIL estime qu’INFOGREFFE est un acteur qui dispose des ressources humaines, financières et techniques nécessaires pour assurer un niveau satisfaisant de protection des données à caractère personnel.

Décision. C’est au regard des manquements constitués aux articles 5, 1, e) et 32 du « RGPD », qui exigent respectivement que les données à caractère personnel ne soient pas conservées pour une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées et de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir leur sécurité, que la formation restreinte de la CNIL prononce à l’encontre du GIE INFOGREFFE une amende d’un montant de 250 000 euros.

Pour justifier sa décision, la CNIL rappelle que les amendes administratives doivent être à la fois dissuasives et proportionnées. Or, non seulement les manquements reprochés concernent des principes clés du « RGPD » qui préexistaient dans la loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS, mais encore la plateforme regroupe les greffiers des tribunaux de commerce, qui sont des officiers publics et ministériels chargés de l’exécution de missions de service public. Pour ces raisons, INFOGREFFE devait faire preuve d’une rigueur particulière dans le respect des obligations légales et réglementaires en matière de protection des données à caractère personnel.  

© Reproduction interdite, sauf autorisation écrite préalable

newsid:482559

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.