Vie des affaires

Protection des données personnelles

Infogreffe sanctionné par la CNIL pour sa mauvaise gestion des données personnelles

La CNIL vient de sanctionner Infogreffe d'une amende de 250 000 € pour ne pas avoir respecté certaines règles du RGPD. Parmi les manquements constatés : des durées excessives de conservation des données des utilisateurs et un système de sécurité insuffisant.

La CNIL saisie d'une plainte à l'encontre du site « infogreffe.fr »

Pour rappel, la CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles. Dans le cadre de ces missions, elle recueille les réclamations et signalements relatifs à la méconnaissance des dispositions du règlement sur la protection des données personnelles (RGPD). Sur la base de ses réclamations, la CNIL opère des vérifications auprès des organismes visés et prononce, le cas échéant, des sanctions.

Dans une affaire récente, la CNIL a été saisie d'une plainte à l'encontre du site web « infogreffe.fr ». Ce site permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Pour cela, les utilisateurs doivent disposer d’un compte ou d’un abonnement impliquant de renseigner ses nom, prénom, adresses postale et électronique, numéro de téléphone ou encore les coordonnées bancaires.

La plainte visait notamment les durées de conservations définies et les mesures de sécurité mises en œuvre par Infogreffe sur son site.

Les manquements au RGPD reprochés à Infogreffe

Des durées de conservations trop excessives

Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD art. 5, 1, e). Au-delà de cette durée, les données personnelles ne peuvent être conservées que si elles ont été « anonymisées », de manière à ne pas porter atteinte à la vie privée des personnes concernées.

Lors de son contrôle, la CNIL a relevé que le site « infogreffe.fr » prévoyait une durée de conservation de 36 mois pour les données personnelles des utilisateurs et abonnés. Cette durée de conservation courrait à compter de la dernière commande de prestation et/ou document.

Or, en pratique, la CNIL a constaté que :

La plainte relative à la durée de conversation des données était donc bien fondée.

Une gestion des mots de passe lacunaire

Pour assurer la protection des données personnelles, le responsable du traitement doit prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (RGPD, art. 32).

S'agissant des mots de passe, la CNIL estime que la longueur suffisante pour résister aux attaques courantes est de 12 caractères. Au-dessous de ce seuil, elle recommande de prévoir des mesures compensatoires (par exemple l'ajout de caractères spéciaux). En aucun cas les mots de passe ne doivent être communiqués aux utilisateurs en clair par courriel ; une telle communication les rendrait trop facilement accessible par des tiers (CNIL, délibérations 2017-012 du 19 janvier 2017 et 2017-190 du 22 juin 2017).

Lors du contrôle de la CNIL, les vérifications du système de sécurité d'Infogreffe ont notamment montré que :

Le système de sécurité d'Infogreffe n'était donc pas assez performant pour satisfaire aux exigences du RGPD.

La sanction prononcée

En raison des manquements constatés lors de ses vérifications, la CNIL a sanctionné Infogreffe d'une amende de 250 000 € rendue publique.

Depuis le contrôle, Infogreffe a indiqué qu’une purge des comptes inactifs depuis plus de 36 mois et amélioration de la sécurisation de l’accès aux comptes et l’identification des membres et abonnés étaient mises en œuvre.

CNIL, délibération SAN-2022-018 du 8 septembre 2022

Date: 14/01/2026

Url: