Sanction infogreffe
La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.
La CNIL[1] a, ces derniers temps, montré sa volonté de renforcer ses contrôles. Le 8 septembre 2022, sa formation restreinte a ainsi condamné la société INFOGREFFE à une amende de 250 000 euros pour avoir conservé trop longtemps les données personnelles des abonnés de son site Internet[2].
Il est temps que l’info se greffe à tous : la législation en vigueur en matière de protection des données n’autorise pas une conservation infinie des données collectées.
Infogreffe.fr ? Un service pour gagner du temps dans ses recherches et formalités
INFOGREFFE est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce français. Il propose, entre autres, d’accéder en un rien de temps aux informations légales concernant les entreprises nationales, via son site Internet « infogreffe.fr ».
Certains documents ne peuvent cependant être visualisés qu’à condition de se créer un compte payant. A cette occasion, l’entité recueille de nombreuses données personnelles sur ses abonnés : nom, prénom mais aussi coordonnées et données bancaires. Or, un des membres d’INFOGREFFE s’est aperçu que celui-ci conservait en clair les mots de passe de ses utilisateurs, et se permettait même de les communiquer par téléphone sur simple demande nominative au service d’assistance. Autrement dit, n’importe qui peut obtenir les données de connexion d’un abonné en se faisant passer pour lui lors d’un appel avec l’organisme.
Cette pratique constitue un manquement grave à l’obligation faite depuis la nuit des temps au responsable de traitement d’assurer la protection des données personnelles qu’il manipule[3]. Un comble au regard du slogan « Entreprendre en confiance » accompagnant le logo d’INFOGREFFE…
Mais surtout, la plainte de cet individu a donné lieu à l’ouverture d’une enquête par la CNIL, qui a révélé – en plus – une violation du GIE aux règles applicables en matière de conservation des données. C’est ce thème particulier, qui n’attire en temps ordinaire pas beaucoup l’attention, que nous allons ici examiner.
Détermination des durées de conservation
Le responsable de traitement ne peut pas garder indéfiniment les données personnelles qu’il recueille.
Il ne peut les conserver sous une forme permettant l’identification des personnes concernées que « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées » (art. 5(1)(e) RGPD). Cela suppose donc de prendre le temps de définir clairement, en amont, à quoi vous serviront ces données.
—–> La loi prévoit parfois une durée minimum de conservation des données
Exemple : l’article L.3243-4 du Code du travail impose à l’employeur de conserver un double des bulletins de paie de ses salariés pendant au moins 5 ans.
—–> Lorsque cela n’est pas le cas, cette durée est laissée à la libre appréciation du responsable de traitement. Celui-ci devra être en mesure de justifier que la période qu’il a arrêtée est proportionnelle à l’utilisation projetée des données[4].
Remarque :les personnes concernées doivent être informées de cette durée de conservation lors de la collecte de leurs données personnelles ou, lorsque cela n’est pas possible, des critères utilisés pour déterminer cette durée (art. 13(2)(a) et 14(2)(a) RGPD). L’organisme ne peut pas se contenter d’utiliser des phrases génériques lui permettant de faire la pluie et le beau temps sur le sujet, telle que « notre société ne conservera vos données que pour une période limitée ».
A) La conservation en base active
Les données sont conservées de façon à être facilement accessibles, car elles servent encore à réaliser l’objectif pour lequel elles ont été collectées (la finalité du traitement).
Exemple ici : un fichier recensant les abonnés du site « infogreffe.fr » ayant encore un compte actif.
ATTENTION – la conservation en base active des données n’exempte pas le responsable de traitement d’assurer, dans le même temps, leur protection. Il doit veiller à ce que ces informations soient stockées et exploitées dans un environnement sécurisé.
B) L’archivage intermédiaire
Même si la raison pour laquelle les données avaient été initialement recueillies a disparu, l’organisme peut de temps en temps avoir un intérêt administratif à garder ces renseignements. Certaines dispositions législatives ou réglementaires peuvent d’ailleurs le lui imposer.
Exemple ici : les factures et documents comptables émis par le site « infogreffe.fr » doivent être conservés pendant 10 ans, alors même que l’intéressé ne serait plus abonné, conformément à l’article L.123-22 du Code du commerce.
Cette étape suppose que l’organisme opère un tri entre les données qu’il estime devoir garder, et celles qui ne lui sont plus d’aucune utilité.
Les données personnelles toujours nécessaires devront être stockées dans des espaces distincts de celles conservées en base active. Elles ne pourront être consultées que de manière ponctuelle, par des personnes spécialement habilitées justifiant de leur besoin d’en connaître.
En l’occurrence, la « Charte de confidentialité » du site web « infogreffe.fr » prévoyait que les données de ses abonnés seraient conservées pendant 36 mois à compter de la dernière commande de prestation et/ou de documents, sans prendre en compte une possible extension de cette période pour la prévention des contentieux.INFOGREFFE a omis à tort de détailler, dans sa politique de durées de conservation des données, qu’il entendait garder ces informations plus longtemps pour d’éventuelles opérations de recouvrement.
D) L’archivage définitif
Lorsque les données personnelles ont fait leur temps et ne présentent plus aucun intérêt pour l’organisme, elles doivent être détruites. Cette opération doit être menée régulièrement et en temps utile. Une suppression fréquente des données obsolètes joue tant en faveur des personnes concernées que de l’entité
Exemple : en cas de cyberattaque, l’ampleur de la violation des données personnelles exploitées par l’organisme sera ainsi limitée, ce qui pourra être un argument pour diminuer d’autant sa responsabilité.
ATTENTION – Des règles spécifiques s’appliquent à l’égard des archives publiques et des données présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles ne fassent l’objet d’aucune destruction. Ces régimes singuliers sont notamment inclus au sein du Code du patrimoine.
« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »
Application de la durée de conservation
La seule détermination d’une durée maximale de conservation des données ne suffit pas à être conforme. Encore faut-il prendre les mesures qui s’imposent pour traduire cet engagement dans les faits. Ici, les investigations de la CNIL ont révélé que les données collectées par INFOGREFFE n’ont pas été supprimées à temps. Un quart des données des comptes souscrits sur son site a en effet été conservé au-delà des 36 mois affichés par l’organisme.
Votre conformité suppose de vous doter des moyens humains, matériels et financiers nécessaires pour concrétiser votre politique de durée de conservation des données. » Votre vigilance ne doit pas être un passe-temps mais bien une occupation à plein temps.
Remarque : l’obligation de limiter la durée de conservation ne vise que les données « permettant l’identification des personnes concernées ». Elle est donc écartée lorsque les données ont été anonymisées, c’est-à-dire lorsqu’un ensemble de techniques ont été employées pour rendre impossible, et de manière irréversible, toute identification de la personne.
Exemple : remplacer les données identifiantes (nom, prénom…) par des données non identifiantes (alias, numéro…).
Le cas d’INFOGREFFE révèle que la CNIL peut, lors de son contrôle, mettre en évidence d’autres problèmes que ceux pour lesquels elle avait été saisie. En l’absence d’une « démarche RGPD continue » au sein de votre organisme, il vous sera impossible de rectifier l’ensemble de vos lacunes à temps pour les camoufler aux yeux de la Commission.
“Que tout le temps qui passe, ne se rattrape guère… Que tout le temps perdu, ne se rattrape plus !” Barbara
Par les temps qui courent, nous ne pouvons que vous conseiller de ne pas perdre de temps pour assurer votre mise en conformité et votre maintien en conformité.
Soyez dans l’air du temps, et automatisez vos process !
RGPD-Experts a conçu pour vous REGISTER +, un registre des activités de traitement entièrement dématérialisé permettant de suivre simplement et efficacement votre conformité.
Dotée entre autres d’une fonction de stockage et d’archivage des anciens traitements de données, REGISTER + sera pour vous un précieux outil de pilotage de vos démarches RGPD. Cette solution dispose notamment de modules vous permettant d’affecter et de suivre des tâches à date programmée, idéals pour une gestion organisée et sereine des durées de conservation de vos données.
L.H
[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.
[2] La délibération complète de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all
[3] En effet, cette obligation n’est pas une nouveauté issue du Règlement Général sur la Protection des Données (RGPD), mais est imposée depuis plus de quarante ans par la loi dite « Informatique et Libertés » du 06 janvier 1978.
[1] Les référentiels et anciennes normes simplifiées de la CNIL peuvent servir de guides en la matière.
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.