La CNIL inflige une amende de 250.000 euros au site Infogreffe

La CNIL a infligé une amende au site Infogreffe, accusé d'avoir conservé trop longtemps des données personnelles d'utilisateurs.
La CNIL a infligé une amende au site Infogreffe, accusé d'avoir conservé trop longtemps des données personnelles d'utilisateurs. © ERIC PIERMONT / AFP
  • Copié
avec AFP
La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 250.000 euros à la société Infogreffe à qui elle reproche d'avoir conservé trop longtemps et de manière non sécurisée les données personnelles de plusieurs internautes. Elle avait été saisie par un utilisateur du site.

La CNIL a infligé une amende de 250.000 euros à la société Infogreffe pour avoir conservé trop longtemps et de manière non sécurisée les données personnelles des utilisateurs de son site internet, selon une délibération rendue publique mardi. La Commission nationale de l'informatique et des libertés avait été saisie d'une plainte d'un utilisateur d'Infogreffe dénonçant la facilité d'accès des tiers à son mot de passe.

Elle a alors constaté "plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service", qui permet de consulter de manière payante des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce, explique-t-elle dans un communiqué.

Conservation d'adresses, mots de passe et autres informations bancaires 

En cause, la conservation d'informations bancaires, noms, prénoms, adresses, au delà des 36 mois prévus par le site pour les comptes inactifs, qui concernait un quart des utilisateurs, et l'absence de procédure d'anonymisation automatique. Egalement dans le viseur de la CNIL, l'absence de "mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs" d'Infogreffe.

 

Il était notamment "impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille", relève la CNIL. En outre, Infogreffe "transmettait en clair, par courriel, les mots de passe non temporaires permettant l'accès aux comptes" et les conservait, toujours en clair, dans sa base de données.

Un recours devant le conseil d'Etat est possible

Créé en 1986 par les greffiers des tribunaux de commerce, le GIE (groupement d'intérêt économique) Infogreffe a de son côté lancé, depuis le contrôle, "une purge des comptes inactifs depuis plus de 36 mois" et "mis en œuvre certaines actions" en matière de sécurisation, selon la CNIL.

 

Cette sanction a été "prise en coopération avec les autres autorités européennes concernées", le site comptant des comptes d'utilisateurs dans tous les pays membres de l'UE. Elle "est susceptible de faire l'objet d'un recours devant le Conseil d'État" dans un délai de deux mois, est-il précisé dans la délibération.