Blog Données personnelles

La CNIL prononce une sanction de 250 000 euros à l’encontre du GIE INFOGREFFE

Dans une délibération en date du 13 septembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 250 000 euros à l’encontre d’INFOGREFFE, notamment pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.

I. Les faits

INFOGREFFE est un organisme qui édite le service de diffusion de l’information légale et officielle sur les entreprises à travers plusieurs canaux, notamment le site web « infogreffe.fr ».

Le 12 décembre 2020, la CNIL a été saisie d’une plainte à l’encontre de l’organisme, d’une personne physique indiquant que le site web « infogreffe.fr » conservait les mots de passe des utilisateurs en clair et qu’elle avait été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.

Par conséquent, la formation restreinte de la CNIL a effectué un contrôle en ligne le 4 mars 2021 sur le site « infogreffe.fr » à l’issue duquel elle a prononcé une amende de 250 000 euros à l’encontre d’INFOGREFFE.

II. Les motifs de la décision

La formation restreinte de la CNIL a retenu deux manquements à l’encontre d’INFOGREFFE :

  • un manquement à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement (article 5.1.e du RGPD), car la « Charte de confidentialité » du site web « infogreffe.fr » prévoyait que les données à caractère personnel des membres et des abonnés seraient conservées 36 mois à compter de la dernière commande de prestation et/ou documents. Toutefois, la CNIL a constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus.
  • un manquement à l’obligation d’assurer la sécurité des données à caractère personnel (article 32 du RGPD), car l’organisme permettait l’utilisation des mots de passe insuffisamment robustes (alors même que la CNIL recommande [2] que le mot de passe comporte au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial - ou alors comporte au moins huit caractères - contenant trois de ces quatre catégories de caractères - s’il est accompagné d’une mesure complémentaire). La CNIL reprochait également à l’organisme de transmettre en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et de conserver également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.

Il est à noter qu’en cours de procédure, INFOGREFFE a commencé des actions de mise en conformité afin de remédier à l’ensemble des manquements relevés lors du contrôle de la CNIL.


[1Délibération SAN-2022-018 du 8 septembre 2022

[2Délibération n° 2017-012 du 19 janvier 2017