Qui est Infogreffe ?
Un GIE (Groupement d’Intérêt Economique) met à disposition du public les données juridiques et économiques collectées auprès des 141 greffes des Tribunaux de commerce.
L’affaire concerne le site Infogreffe.fr qui permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce.
Pour pouvoir accéder à ce service, l’internaute crée un compte sur la plateforme en enregistrant ses coordonnées.
Pourquoi la Cnil a affligé une sanction ?
Deux manquements importants ont été constatés :
• Une durée de conservation excessive des données. Infogreffe avait déterminé une durée précise durant laquelle elle conservait les informations des utilisateurs (36 mois à compter de la dernière commande de prestations) mais dans la pratique, cette durée n’était pas respectée. La CNIL a ainsi constaté que les données de 25 % des utilisateurs du service faisaient l’objet d’une durée de conservation au-delà des délais prévus.
• Des mesures de sécurité insuffisantes pour garantir la sécurité des données des membres et des utilisateurs concernés. En effet, l’organisme conservait les mots de passe en clair dans sa base de données et ne permettait pas l’usage de mots de passe robustes en raison de la limitation de sa taille (maximum 8 caractères). De plus, les mots de passe étaient transmis par téléphone ou par courriel en clair à la demande simple de l’internaute.
Quels enseignements en tirer pour une collectivité ?
Le principe de durée de conservation limitée est une obligation difficilement mise en œuvre dans les collectivités. Beaucoup d’établissement gardent de manière indéterminée de nombreux documents avec des données personnelles sans limite dans le temps.
La sanction de la CNIL rappelle qu’on ne peut pas s’affranchir de cette obligation et qu’il faut également maîtriser la durée d’accès aux données numériques au même titre que la donnée papier.
Le second enseignement concerne les mesures de sécurité.
Là aussi, la sanction de la CNIL invite chaque collectivité à vérifier que leurs plateformes ( ex : espace citoyen) embarquent les solutions qui permettent de garantir cette sécurité. Pour ce faire, vous pouvez vous appuyer sur le Référentiel Général de Sécurité (RGS) qui fixe les règles que doivent respecter ce type de système et l’exiger auprès de votre prestataire qui vous fournit cette solution.