[Brèves] « RGPD » : la CNIL prononce une sanction de 250  000 euros à l’encontre du GIE INFOGREFFE

► La CNIL a prononcé une sanction de 250 000 euros à l’encontre du GIE INFOGREFFE pour avoir manqué à plusieurs obligations du Règlement (UE) n° 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I en matière de durées de conservation et de sécurité des données personnelles. 

Faits et procédure. Après avoir été informée par une personne physique que l’organisme INFOGREFFE conservait les mots de passe de ses utilisateurs en clair et que cette personne avait été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique, la CNIL a décidé de réaliser une mission de contrôle sur le site « infogreffe.fr », qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.

C’est ainsi que la CNIL a relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs de la plateforme, plus particulièrement à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement et à celle d’assurer la sécurité des données personnelles.

En particulier, le GIE informait les utilisateurs que leurs données personnelles étaient conservées pendant trente-six mois à compter de la dernière commande de prestation ou de document. Pourtant, le contrôle de la CNIL a révélé que les données de 25 % des utilisateurs faisaient l’objet d’une durée de conservation au-delà de ces trente-six mois.

S’agissant de la sécurité des données personnelles, la CNIL a également relevé que l’organisme n’imposait pas l’utilisation d’un mot de passe robuste, en plus de transmettre par courriel les mots de passe non temporaires permettant l’accès aux comptes et de conserver en clair dans sa base de données les mots de passe et les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs. Or, la CNIL estime qu’INFOGREFFE est un acteur qui dispose des ressources humaines, financières et techniques nécessaires pour assurer un niveau satisfaisant de protection des données à caractère personnel.

Décision. C’est au regard des manquements constitués aux articles 5, 1, e) et 32 du « RGPD », qui exigent respectivement que les données à caractère personnel ne soient pas conservées pour une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées et de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir leur sécurité, que la formation restreinte de la CNIL prononce à l’encontre du GIE INFOGREFFE une amende d’un montant de 250 000 euros.

Pour justifier sa décision, la CNIL rappelle que les amendes administratives doivent être à la fois dissuasives et proportionnées. Or, non seulement les manquements reprochés concernent des principes clés du « RGPD » qui préexistaient dans la loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS, mais encore la plateforme regroupe les greffiers des tribunaux de commerce, qui sont des officiers publics et ministériels chargés de l’exécution de missions de service public. Pour ces raisons, INFOGREFFE devait faire preuve d’une rigueur particulière dans le respect des obligations légales et réglementaires en matière de protection des données à caractère personnel.  

© Reproduction interdite, sauf autorisation écrite préalable