CNIL – Infogreffe – SAN-2022-018

Le 12 décembre 2020, la CNIL a été saisie d’une plainte à l’encontre de l’organisme, d’une personne indiquant que le site web Infogreffe conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique. Une mission de contrôle a été réalisée afin de vérifier la conformité de tout traitement accessible à partir du domaine Infogreffe, ou portant sur des données à caractère personnel collectées à partir de ce dernier. À l’issue de son instruction, le rapporteur a, le 16 février 2022, fait notifier à l’organisme un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce, accompagné d’une convocation à la séance de la formation restreinte du 21 avril 2022. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements aux articles 5, paragraphe 1, e) et 32 du RGPD.

En réponse, l’organisme admet que des données à caractère personnel ont été conservées plus longtemps que la durée indiquée au sein de sa Charte mais conteste le fait que la durée indiquée dans cette Charte soit prise comme seule référence alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois. S’agissant de l’anonymisation des données à caractère personnel, l’organisme admet que 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés. Il admet également le retard pris dans l’automatisation de l’anonymisation mais conteste le fait qu’il n’y ait eu aucune anonymisation des comptes.