Pourquoi la CNIL inflige à Infogreffe une amende de 250 000 euros

1nf0gr3f
00
Droit 14 min
Pourquoi la CNIL inflige à Infogreffe une amende de 250 000 euros
Crédits : INFOGREFFE
Jean-Marc Manach
Par Le mardi 13 septembre 2022 à 12:47
Signaler une erreur

La formation restreinte de la CNIL a décidé de rendre publique la sanction de 250 000 euros qu'elle a prononcé à l’encontre du site des greffes des tribunaux de commerce français infogreffe.fr. Elle évoque deux manquements : une « négligence grave » pour le premier, d'une « particulière gravité » pour le second.

Le  Groupement d'intérêt Economique (GIE) INFOGREFFE, qui se qualifie de « première LegalTech française », avait lancé 3615 Infogreffe en 1987, et infogreffe.fr en 2001, afin de mettre à disposition du public les données juridiques et économiques collectées auprès de chacun des 141 greffes des Tribunaux de commerce :

« Dans le prolongement de la mission de service public des greffiers, Infogreffe a pour priorité de faciliter l'accès à ses services et permet de dématérialiser les principales démarches auprès des greffes. L'information délivrée a une valeur légale. »

Or, un contrôle en ligne effectué par la CNIL a permis de révéler un certain nombre de problèmes et manquements que le simple respect du RGPD, mais également de la loi Informatique et libertés, aurait pu et dû permettre d'éviter.

Récupérer un mot de passe sur un simple coup de fil

Dans sa délibération, la CNIL explique avoir été saisie d’une plainte le 12 décembre 2020 d’une personne déplorant qu'infogreffe.fr conservait les mots de passe de ses utilisateurs en clair et qu’elle a été « capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique ».

En réponse à un contrôle en ligne effectué le 4 mars 2021 et notifié par courrier recommandé, le GIE adressait plusieurs courriers afin de transmettre les éléments sollicités par la CNIL et répondre à ses demandes de complément d’informations. 

Si la CNIL détaille les formalités administratives de son contrôle, elle ne précise pas, cela dit, le contenu du procès-verbal qu'elle avait alors adressé à Infogreffe. Tout juste apprend-on qu'au cours de l’année 2020, son site avait été « consulté par plus de 24 millions de personnes dans le monde et que, sur les 3,7 millions de personnes disposant d’un compte, plus de 8 000 comptes européens n’étaient pas français ».

Conformément à l’article 56 du RGPD, la CNIL a dès lors informé l’ensemble des autorités de contrôle européennes, les informant de sa compétence à agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par Infogreffe, « résultant de ce que l’établissement unique du groupement se trouve en France ».

François Pellegrini, désigné en qualité de rapporteur le 26 octobre 2021, réclamait au GIE le 2 décembre ses trois derniers bilans comptables, que l’organisme lui transmettait par courrier daté du 15 décembre 2021. Le 16 février 2022, il notifiait à l’organisme un rapport détaillant les manquements constatés au RGPD, accompagné d’une convocation à une séance de la formation restreinte le 21 avril 2022.

Le 22 février, Infogreffe sollicitait un délai d'un mois pour produire des observations en réponse au rapport de sanction (ce que la CNIL accepta), ainsi qu'un huis clos (refusé, le rapporteur ayant proposé de rendre la décision publique).

Près d'un million d'utilisateurs concernés

Aucune des autorités de contrôle européennes n’ayant « formulé d’objection pertinente et motivée » en réponse au projet de décision qui leur avait été envoyée, et après avoir entendu les observations orales d'Infogreffe lors de la séance de la formation restreinte, la délibération de la CNIL détaille les griefs finalement retenus.

En premier lieu, elle relève un manquement à la charte RGPD d'Infogreffe, qui prévoit une durée de conservation des données personnelles de ses utilisateurs de 36 mois « à compter de la dernière commande de prestations et/ou Documents effectuée par l'Utilisateur via le Site, date aux termes de laquelle les données à caractère personnel ne sont plus conservées ».

Or, un tableur transmis à la CNIL par le GIE révéla qu’au 1er mai 2021, il conservait encore les données à caractère personnel (nom, prénom, adresses postale et électronique, téléphone fixe ou portable, choix d’une question secrète et de sa réponse, ainsi que, pour les abonnés, leurs données bancaires, IBAN et BIC) de 946 023 membres et de 17 558 abonnées dont les dernières interactions dataient de plus de 36 mois, et « sans que l’organisme soit en mesure de justifier d’un contact récent avec lesdits membres ou abonnés ».

Le rapporteur relève en outre qu’aucune procédure de suppression automatique des données à caractère personnel n’avait été mise en place, mais également que « les données étaient conservées pour des durées excessives par rapport à leur finalité et la propre politique fixée par l’organisme ».

En défense, Infogreffe contestait le fait que la durée indiquée dans cette Charte soit prise comme seule référence « alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois ». 

Infogreffe admettait en outre que « 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés », ainsi que le retard pris dans l’automatisation de l’anonymisation, mais contestait le fait qu’il n’y aurait eu aucune anonymisation des comptes.

La formation restreinte lui rétorqua « qu’aucune procédure d’anonymisation automatique n’était mise en œuvre au jour du contrôle en ligne », déplorant qu'Infogreffe conservait dès lors des données identifiantes « sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs ».

Infogreffe avait certes purgé les comptes inactifs depuis plus de 36 mois suite au contrôle, mais « le manquement structurel à l’article 5, paragraphe 1, e) du RGPD [...] reste caractérisé pour le passé ».

Des mots de passe (8 caractères max.) stockés et transmis en clair

Plus grave, eu égard aux recommandations, bonnes pratiques et état de l'art en matière de phrases de passe, la formation restreinte a constaté que « les mots de passe de connexion des utilisateurs à leurs comptes, accessibles depuis le site web de l’organisme, sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire » : 

« En outre, le rapporteur relève qu’au jour des constats, il était impossible pour l’ensemble des utilisateurs ou des abonnés du site web " infogreffe.fr ", soit pour plus de 3,7 millions de comptes, de saisir un mot de passe sécurisé en raison de la limitation de leur taille à 8 caractères maximum. »

Infogreffe transmettait au surplus « en clair par courriel des mots de passe non temporaires permettant l’accès aux comptes », et conservait « également en clair dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs ».

Cerise sur le gâteau, « en dernier lieu, le rapporteur relève que l’organisme ne confirme pas non plus à l’utilisateur la modification de son mot de passe » :

« Le rapporteur considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée, n’est donc à ce titre pas protégé contre les tentatives d’usurpation de son compte. »

Usurpation d'identité et vol de données

Pour sa défense, Infogreffe enfila les perles, plutôt que d'avaler ses couleuvres en reconnaissant platement ses nombreux torts.

Il fit en effet d'abord valoir que « l’obligation de sécurité est une obligation de moyens qui doit être appréciée in concreto et que son inexécution doit être constatée par un constat de l’inefficacité des mesures mises en œuvre, ayant conduit à un accès non autorisé, ce qui n’est pas le cas en l’espèce » : 

« Il souligne que la recommandation relative aux mots de passe évoquée par le rapporteur constitue du droit souple, qu’il ne s’agit pas de règles impératives, applicables in abstracto, indépendamment de tout contexte et dont le non-respect serait, en lui-même, de nature à justifier une sanction administrative. »

En outre, souligne la délibération, Infogreffe rétorqua également que « l’analyse d’impact relative à la protection des données a révélé un risque faible pour les données à caractère personnel en cas d’accès non autorisé » à mesure que les comptes membres, « représentant la majorité des comptes », n'enregistrent pas leurs données bancaires, contrairement aux comptes abonnés.

Infogreffe estimait dès lors qu’ « un tiers non autorisé ne pourra effectuer d’autres démarches que l’achat de documents et l’envoi de formalités à la place du titulaire du compte », reconnaissant ainsi qu'il était possible d'usurper une identité et de s'en servir pour voler des données. 

Infogreffe opposa également à la formation restreinte que « les informations accessibles en se connectant sur le compte d’un utilisateur sont pour l’essentiel des données à caractère personnel présentes dans les extraits K ou KBIS », mais sans s'expliquer sur la faiblesse manifeste de sa mauvaise politique de gestion des mots de passe.

Aucune mesure de sécurité complémentaire

Pour rappel, la protection des données dès la conception, ainsi que la protection des données par défaut (« privacy by design & by default ») constituent le mantra et b.a.-ba du RGPD, adopté en 2016 et en vigueur depuis 2018.

Ce pourquoi la formation restreinte rappelle que, en application de l’article 32 du RGPD, pour assurer la protection des données à caractère personnel, il incombe au responsable de traitement de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » : 

« La formation restreinte considère que l’utilisation d’un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire, peut conduire à des attaques par des tiers non autorisés, telles que des attaques par "force brute" ou "par dictionnaire". »

Elle relève à cet égard que la nécessité d’un mot de passe fort est recommandée tant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) que par la Commission dans sa délibération n° 2017-012 du 19 janvier 2017. 

Or, les mots de passe étant limités à huit caractères seulement, mais également « sans aucun critère de complexité », et n'étant par ailleurs « associés à aucune mesure de sécurité complémentaire » de type authentification multi-facteurs, la formation restreinte « considère que le risque encouru par les personnes concernées est réel » : 

« un tiers ayant eu accès au mot de passe pourrait non seulement accéder à toutes les données à caractère personnel présentes dans le compte de la personne concernée, mais également consulter l’historique de ses commandes, télécharger ses factures et/ou changer le mot de passe du compte et les informations de contact à l’insu de l’utilisateur. »

Aucune notification du changement de mot de passe

En outre, « la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient », précise la délibération. 

La formation restreinte considère au surplus que « l’utilisateur qui n’est pas alerté en cas de modification non autorisée n’est donc pas protégé contre les tentatives d’usurpation de son compte », et conclut que « les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes » : 

« si la délibération n° 2017-012 du 19 janvier 2017, le guide de la CNIL relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe cités dans les écrits du rapporteur n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art. »

La CNIL, se référant à deux délibérations datant de juin et juillet 2019, rappelle par ailleurs qu'au-delà de ces recommandations, elle a déjà, « à plusieurs reprises », prononcé des sanctions pécuniaires visant notamment « l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte » : 

« Dans ces conditions, eu égard aux risques encourus par les personnes, rappelés ci-dessus, ainsi qu’au volume et à la nature des données à caractère personnel qui peuvent être contenues dans plus de 3,7 millions de comptes (données bancaires des comptes abonnés, nom, prénom, adresse postale et électronique, numéros de téléphone fixe ou portable, question secrète et sa réponse de l’ensemble des comptes), la formation restreinte considère que l’organisme a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD. »

Élément central du RGPD, l'article 32 oblige en effet responsables et sous-traitants à « garantir un niveau de sécurité adapté au risque », en optant pour une série de techniques de protection comme la pseudonymisation et le chiffrement des données à caractère personnel, et « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

La formation restreinte reconnaît qu'Infogreffe « a pris certaines mesures pour assurer la sécurité des données traitées » dans le cadre de la procédure initiée suite à la plainte de 2020. Elle n'en considère pas moins que, « depuis la mise en œuvre de sa politique de mots de passe en 2002 et jusqu’au mois de juin 2021, les mesures de sécurité mises en place par l’organisme ne lui permettaient pas d’assurer un niveau de sécurité suffisant des données à caractère personnel traitées et que, partant, un manquement aux obligations de l’article 32 du Règlement est constitué ».

La faute au sous-traitant (spoiler : non)

Pour sa défense, Infogreffe avait par ailleurs insisté sur la « responsabilité contractuelle de son sous-traitant au regard des instructions qui lui avaient été données concernant la sécurité et l’anonymisation des données à caractère personnel ».

À quoi la formation restreinte répliqua qu'il apparaît surtout qu’Infogreffe « n’a pas suivi l’exécution de ces instructions et n’a pas exercé un contrôle satisfaisant et régulier sur les mesures techniques et organisationnelles mise en œuvre par son sous-traitant pour assurer la conformité au RGPD ».

Elle prend également en compte la nature de l’acteur concerné, à savoir les greffiers des tribunaux de commerce, « qui sont des officiers publics et ministériels chargés de l’exécution de missions de service public » : « À ce titre, la formation restreinte considère que l’organisme aurait dû, dès lors, faire preuve d’une particulière rigueur dans le respect de l’ensemble de ses obligations légales et réglementaires. »

Or, « il résulte des débats que l’organisme a reporté la mise en œuvre des chantiers relatifs à l’anonymisation et à la sécurité des données à caractère personnel afin de répondre, sans accroître ses moyens disponibles, à d’autres obligations de mise en conformité qui n’étaient pas liées à la protection des données ».

De plus, les manquements reprochés renvoient certes à des principes clés du RGPD, mais ils préexistaient déjà dans la loi Informatique et Libertés de 1978. 

La formation restreinte souligne enfin que « ces manquements ne sauraient être regardés comme un incident isolé » : 

  • « S’agissant du manquement relatif à la durée de conservation, la formation restreinte rappelle que l’organisme avait lui-même fixé une durée de conservation des données à caractère personnel qu’il n’a pas respectée et que ce manquement concerne plus d’un million de comptes utilisateurs, membres et abonnés.
  • S’agissant du manquement relatif à la sécurité des données, la formation restreinte considère que la faiblesse extrême des règles de complexité des mots de passe, ainsi que les mesures de sécurité en matière de communication, conservation et renouvellement des mots de passe, en vigueur depuis 2002, rendaient l’ensemble des comptes vulnérables. »

Des manquements structurels d'une particulière gravité

Cherchant à minorer le montant de l'amende qui lui serait infligée, Infogreffe plaida « le caractère isolé de la plainte à l’origine du contrôle et l’absence de gain financier tiré des manquements ».

À quoi la formation restreinte rétorqua que cette seule plainte « ne saurait minimiser la gravité des manquements qui au demeurant se sont révélés structurels ».

Évoquant une « négligence grave » pour ce qui de la durée de conservation des données, elle souligne également la « particulière gravité, d’autant plus qu’ils ont rendu l’ensemble des comptes vulnérables » des manquements relatifs à la sécurité des mots de passe.

Ce pourquoi elle a décidé de prononcer une amende administrative d’un montant de 250 000 euros, et de rendre publique sa délibération, « qui n’identifiera plus nommément l’organisme à l’expiration d’un délai de deux ans à compter de sa publication ».

Signaler une erreur
Ce contenu est désormais en accès libre

Il a été produit grâce au soutien de nos abonnés, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
1,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

6634

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires