C’est à la suite d’une plainte dont elle a été saisie que la Cnil dit avoir procédé à un contrôle du site infogreffe.fr lequel permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Les vérifications diligentées par la Cnil ont porté notamment sur les durées de conservation définies et les mesures de sécurité mise en œuvre par Infogreffe et c’est à cette occasion que les enquêteurs de l’autorité administrative ont relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service, que ce soit ceux créant un compte de manière ponctuelle pour la visualisation ou la commande d’un acte que ceux disposant d’un abonnement annuel.

Les manquements relevés ont été jugés suffisamment graves pour que cette décisionCnil, restr., 8 sept. 2022, n° SAN-2022-018, Gie infogreffe., prononçant une amende de 250 000 euros à l’encontre du Gie Infogreffe pour des manquements aux articles 5.1.e et 32 du Rgpd, soit rendue publique par sa mise en ligne sur legifrance.gouv.fr, en précisant même qu’elle a été rendue « en coopération avec les autres autorités européennes concernées » car des comptes utilisateurs sur le site infogreffe.fr ont été créés depuis tous les États membres de l’Union européenne.

J’ai obtenu mon de passe par téléphone en donnant simplement mon nom à l’interlocutrice du service d’assistance téléphonique
Une utilisatrice d’Infogreffe

Pour ce qui est du manquement à l’article 5.1.e relatif à l’obligation de ne conserver les données que « pour une durée proportionnée à la finalité du traitement », la "Charte de confidentialité" d’Infogreffe prévoit que les données personnelles (données bancaires, nom, prénoms, adresses postale et électronique, téléphone fixe et/ou mobile, question secrète et sa réponse) des utilisateurs et des abonnés ne sont conservées que 36 mois à compter de la dernière commande de prestation et/ou de document mais il a pu être constaté, d’une part, que les données de près d’un million de personnes, soit environ 25 % des utilisateurs du service, faisaient l’objet d’une durée de conservation bien au-delà du délai de 36 mois prévu et, d’autre part, que l’anonymisation manuelle mise en œuvre par Infogreffe — sur demande expresse des utilisateurs — ne concernait qu’une très faible quantité de comptes.

Quant au manquement fondé sur l’article 32 relatif à l’obligation d’assurer la sécurité des données personnelles, les fins limiers ont pu constater qu’Infogreffe n’impose pas l’utilisation d’un mot de passe « robuste » lors de la création d’un compte sur son site et à cela s’ajoute le fait qu’Infogreffe transmet en clair, par courriel, les mots de passe non temporaires et conserve, aussi en clair, dans sa base de données, les mots de passe et les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe. Un utilisateur a été en mesure d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique, peut-on lire dans la décision.

La Cnil estime donc qu’Infogreffe n’a pas pris les mesures suffisantes pour « garantir la sécurité des données des utilisateurs et abonnés » mais il semble que Gie a, au cours de la procédure de contrôle, mis en place certaines actions destinées à « la sécurisation de l’accès aux comptes et l’identification des utilisateurs et abonnés ».