La formation restreinte de la CNIL a décidé de rendre publique la sanction de 250 000 euros qu’elle a prononcé à l’encontre du site des greffes des tribunaux de commerce français infogreffe.fr. Elle évoque deux manquements : une « négligence grave » pour le premier, d’une « particulière gravité » pour le second.
Le Groupement d’intérêt Economique (GIE) INFOGREFFE, qui se qualifie de « première LegalTech française », avait lancé 3615 Infogreffe en 1987, et infogreffe.fr en 2001, afin de mettre à disposition du public les données juridiques et économiques collectées auprès de chacun des 141 greffes des Tribunaux de commerce :
« Dans le prolongement de la mission de service public des greffiers, Infogreffe a pour priorité de faciliter l’accès à ses services et permet de dématérialiser les principales démarches auprès des greffes. L’information délivrée a une valeur légale. »
Or, un contrôle en ligne effectué par la CNIL a permis de révéler un certain nombre de problèmes et manquements que le simple respect du RGPD, mais également de la loi Informatique et libertés, aurait pu et dû permettre d’éviter.
Récupérer un mot de passe sur un simple coup de fil
Dans sa délibération, la CNIL explique avoir été saisie d’une plainte le 12 décembre 2020 d’une personne déplorant qu’infogreffe.fr conservait les mots de passe de ses utilisateurs en clair et qu’elle a été « capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique ».
En réponse à un contrôle en ligne effectué le 4 mars 2021 et notifié par courrier recommandé, le GIE adressait plusieurs courriers afin de transmettre les éléments sollicités par la CNIL et répondre à ses demandes de complément d’informations.
Si la CNIL détaille les formalités administratives de son contrôle, elle ne précise pas, cela dit, le contenu du procès-verbal qu’elle avait alors adressé à Infogreffe. Tout juste apprend-on qu’au cours de l’année 2020, son site avait été « consulté par plus de 24 millions de personnes dans le monde et que, sur les 3,7 millions de personnes disposant d’un compte, plus de 8 000 comptes européens n’étaient pas français ».
Conformément à l’article 56 du RGPD, la CNIL a dès lors informé l’ensemble des autorités de contrôle européennes, les informant de sa compétence à agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par Infogreffe, « résultant de ce que l’établissement unique du groupement se trouve en France ».
François Pellegrini, désigné en qualité de rapporteur le 26 octobre 2021, réclamait au GIE le 2 décembre ses trois derniers bilans comptables, que l’organisme lui transmettait par courrier daté du 15 décembre 2021. Le 16 février 2022, il notifiait à l’organisme un rapport détaillant les manquements constatés au RGPD, accompagné d’une convocation à une séance de la formation restreinte le 21 avril 2022.
Le 22 février, Infogreffe sollicitait un délai d’un mois pour produire des observations en réponse au rapport de sanction (ce que la CNIL accepta), ainsi qu’un huis clos (refusé, le rapporteur ayant proposé de rendre la décision publique).