El servicio de información jurídica y oficial de empresas, Infogreffe, acaba de recibir una multa de 250.000 euros de la Comisión Nacional de Informática y Libertades (CNIL) por incumplimiento del RGPD.
Una denuncia de diciembre de 2020 contra Infogreffe
El regulador francés critica a Infogreffe por varias deficiencias en relación con el Reglamento General de Protección de Datos (GDPR), en particular sobre la período de retención de datos y seguridad débil. La sanción se refiere al sitio web de Infogreffe. Esta plataforma permite a cualquier persona consultar información legal sobre empresas y solicitar documentos certificados por los registros de los tribunales comerciales. La primera denuncia contra Infogreffe data de diciembre de 2020.
Google completa la adquisición de Mandiant por 5.400 millones de dólares
En ese momento, la denunciante había indicado que el sitio del servicio especializado en información legal y oficial para empresas « mantuvo las contraseñas de los usuarios en claro y pudo obtener su contraseña por teléfono simplemente dando su nombre a la persona de la línea de ayuda «. Con base en esta denuncia, la Comisión Nacional de Computación y Libertades abrió una investigación y encontró varias deficienciasparticularmente en términos de la duración de la retención de datos.
La CNIL ha encontrado dos grandes incumplimientos del RGPD
Por lo tanto, Infogreffe fue condenado en virtud del artículo 5 del RGPD. Este pasaje rige los principios relativos al tratamiento de datos de carácter personal. Según la CNIL, a partir del 1 de mayo de 2021, “ Infogreffe conservó los datos de 946.023 socios y 17.558 suscriptores, incluido el último pedido, el último trámite o la última factura «. La investigación del regulador reveló que la organización no tenía un procedimiento de borrado de datos. Es sobre este primer punto que se sanciona al GIE.
Al mismo tiempo, la CNIL observa cierta debilidad en el proceso de anonimización de datos. Se trata del incumplimiento del artículo 32 del RGPD que exige que » el responsable del tratamiento implementa las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo «. En Infogreffe, se consideró que la protección de datos era insuficiente. Varios temas han sido señalados por la CNIL: el número de caracteres limitado a 8 para la contraseña, así como la conservación de estas contraseñas en texto claro.