Dans une délibération en date du 13 septembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 250 000 euros à l’encontre d’INFOGREFFE, notamment pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.
INFOGREFFE est un organisme qui édite le service de diffusion de l’information légale et officielle sur les entreprises à travers plusieurs canaux, notamment le site web « infogreffe.fr ».
Le 12 décembre 2020, la CNIL a été saisie d’une plainte à l’encontre de l’organisme, d’une personne physique indiquant que le site web « infogreffe.fr » conservait les mots de passe des utilisateurs en clair et qu’elle avait été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.
Par conséquent, la formation restreinte de la CNIL a effectué un contrôle en ligne le 4 mars 2021 sur le site « infogreffe.fr » à l’issue duquel elle a prononcé une amende de 250 000 euros à l’encontre d’INFOGREFFE.
La formation restreinte de la CNIL a retenu deux manquements à l’encontre d’INFOGREFFE :
Il est à noter qu’en cours de procédure, INFOGREFFE a commencé des actions de mise en conformité afin de remédier à l’ensemble des manquements relevés lors du contrôle de la CNIL.
[1] Délibération SAN-2022-018 du 8 septembre 2022
[2] Délibération n° 2017-012 du 19 janvier 2017