NOUVELLE SANCTION DE LA CNIL
Nouvelle sanction de la CNIL. Le 8 septembre 2022, GIE INFOGREFFE est condamné à une amende de 250 000 euros. Deux manquements au RGPD lui sont reprochés.
● La conservation des données. Bien que sa Charte de confidentialité prévoie la conservation des données personnelles durant 36 mois à compter de la dernière commande, 25% des comptes ont été conservés au-delà sans être anonymisés et aucune procédure de suppression automatique n’a été mise en place.
● La sécurité des données. La CNIL, en référence aux recommandations de l’ANSSI, relève la robustesse insuffisante des mots de passe face à des attaques par « force brute » (8 caractères sans critère de complexité ni mesure de sécurité complémentaire), ainsi que leur conservation et transmission en clair par courriel, présentant un risque de captation par des tiers de données immédiatement utilisables. La CNIL reproche aussi l’absence de notification à l’utilisateur de la modification de son mot de passe, et donc d’une éventuelle tentative d’usurpation de son compte.
