Saisie d’une plainte d’une personne indiquant que l’organisme INFOGREFFE lui avait transmis son mot de passe par téléphone en donnant simplement son nom, la CNIL a sanctionné l’organisme pour non-respect de l’obligation de sécurité et non-respect du principe de limitation de la conservation.
A la suite d’une plainte adressée à l’encontre d’INFOGREFFE, (l’organisme permettant de consulter des informations légales sur les entreprises), la CNIL a diligenté une enquête auprès de ce dernier.
Au terme de son enquête, la CNIL a dressé un rapport détaillant deux manquements au RGPD.
En premier lieu, INFOGREFFE n’a pas respecté les durées de conservation des données personnelles. Effectivement, bien qu’indiquant dans sa « Charte de confidentialité » qu’il gardait les données personnelles pendant « 36 mois à compter de la dernière commande », INFOGREFFE a fourni à la CNIL un fichier contenant des données personnelles bien plus anciennes.
En second lieu, INFOGREFFE n’a pas mis en œuvre les mesures de sécurité adéquates. En effet, selon l’article 32 du RGPD, il incombe au responsable de traitement de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Or, la CNIL a constaté que les mots de passe (i) étaient limités à 8 caractères, (ii) n’exigeaient aucun critère de complexité, (iii) étaient transmis en clair par courriel et (iv) étaient conservés en clair par INFOGREFFE. De plus, la modification du mot de passe n’était pas confirmée à l’utilisateur. Après avoir rappelé que la protection des mots de passe est une « précaution élémentaire de sécurité correspondant à l’état de l’art », la CNIL en a conclu que « la faiblesse extrême des règles de complexité des mots de passe, ainsi que les mesures de sécurité en matière de communication conservation et renouvellement des mots de passe [rendaient] l’ensemble des comptes vulnérables ».
En conséquence de ces deux manquements la CNIL a infligé à INFOGREFFE une amende de 250 000 €.
Lien vers la décision : ici