Par une décision du 8 septembre 2022, la CNIL a condamné le GIE INFOGREFFE, qui regroupe les greffiers des tribunaux de commerce, à une amende de 250.000 euros ainsi qu’à la publicité de la décision.

Cette sanction est fondée sur deux dispositions importantes du Règlement 2016/679 du 27 avril 2016 (RGPD) :

• La conservation des données ;
• La sécurité des données.

Ces manquements, qualifiés de « négligence grave » et de manquements d’une « particulière gravité », constituent des cas d’école de ce qu’il ne faut pas faire lorsque l’on traite des données à caractère personnel.

1. Conservation lacunaire des données

La CNIL reproche à INFOGREFFE d’avoir conservé des données personnelles au-delà de la durée nécessaire à la réalisation des finalités auxquelles elles sont associées.

Les données en question sont celles des membres et abonnés à INFOGREFFE.

La politique de confidentialité d’INFOGREFFE indiquait qu’elles étaient conservées pendant 36 mois suivant le dernier contact. Cela est cohérent avec la Norme Simplifiée 48, mise à jour en 2016, qui indique que « les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale ».

La CNIL a cependant constaté qu’INFOGREFFE ne respectait pas sa politique de confidentialité et conservait les données au-delà de la durée annoncée pour 25% des comptes créés sur le site.

INFOGREFFE a bien tenté de le justifier en invoquant d’autres finalités de traitement comme le recouvrement, mais INFOGREFFE n’avait pas inscrit cette finalité au sein de sa politique de confidentialité, et les données à ce titre auraient en tout état de cause dû être conservées en archivage intermédiaire.

2. Défaut de mesures de sécurité

C’est ce manquement qui a déclenché le contrôle. Un membre d’INFOGREFFE ayant perdu le mot de passe de son compte a contacté INFOGREFFE et, en fournissant son nom, INFOGREFFE lui a rappelé quel était son mot de passe. Cela signifie qu’INFOGREFFE conserve les mots de passe de ses membres et abonnés en clair dans son système d’information. Le membre a alors décidé d’alerter la CNIL.

La CNIL a ainsi pu relever de nombreux manquements à la sécurité des données :

• Politique de mot de passe insuffisante : maximum huit caractères et pas d’obligation de caractères spéciaux. INFROGREFFE était donc loin des bonnes pratiques en la matière, listées par l’ANSSI.
• Transmission en clair (de manière non-chiffrée) de mots de passe non-temporaires. Toute personne interceptant le message peut accéder au compte.
• Conservation en clair des mots de passe et des questions/réponses de sécurité. Il s’agit de la fameuse question sur l’identité de votre premier animal de compagnie pour recouvrer vos identifiants. Si cette question n’est pas sécurisée, elle perd son utilisé.
• L’absence de confirmation de la modification de mot de passe. Si une personne malveillante accède à votre compte et en change le mot de passe, vous ne serez pas informé et ne pourrez donc pas agir.

La CNIL rappelle que l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte ont déjà fait l’objet de sanction de sa part en 2019, appuyant l’importance du manquement.

Un élément de défense intéressant d’INFOGREFFE a consisté à invoquer un manquement de son sous-traitant qui ne lui aurait pas fourni de bonnes instructions quant à la sécurité et l’anonymisation des données.

La CNIL balaie cet argument en relevant que, bien qu’INFOGREFFE ait pu donner des instructions spécifiques à ce titre, « il apparaît qu’il n’a pas suivi l’exécution de ces instructions et n’a pas exercé un contrôle satisfaisant et régulier sur » son sous-traitant.

Il en ressort un enseignement particulièrement intéressant : une société, responsable de traitement, ne peut pas se contenter de donner des instructions sans aucun suivi. Il est nécessaire que le respect des instructions par ses sous-traitants soit contrôlé, mettant en exergue l’importance des clauses d’audit dans les accords sur le traitement des données :

• Inscrire des règles dans sa politique de confidentialité n’est pas suffisant : il faut se donner les moyens de s’y conformer ;
• Les mots de passe sont des données particulièrement sensibles, qu’il faut traiter en conséquence ;
• Un sous-traitant a beau être fautif, il appartient au responsable de traitement de surveiller la mise en œuvre des instructions.

Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.

Pour toute question, n’hésitez pas à nous contacter.