La CNIL[1] a sanctionné l’organisme INFOGREFFE, le 8 septembre 2022, pour n’avoir pas pris des mesures de sécurité adaptées et n’avoir pas respecté le principe de limitation de données du RGPD[2].

INFOGREFFE regroupe les greffes des tribunaux de commerce de France. L’organisme édite notamment le site INFOGREFFE.FR, qui offre la possibilité de consulter des informations légales sur les entreprises, de commander certains documents administratifs et de souscrire à des abonnements permettant d’obtenir des données sur les entreprises françaises. Le site INFOGREFFE.FR est relativement populaire, puisque 24 millions de personnes dans le monde l’ont consulté en 2020 et que 3,7 millions de personnes disposent d’un compte[3].

Pour accéder à certains de ces services d’INFOGREFFE, les internautes devaient créer un compte personnel et saisir leur nom, prénom, adresses postale et électronique, téléphone fixe ou portable ainsi qu’une « question secrète » et sa réponse. Un mot de passe, de maximum huit caractères, devait également être saisi. Ce mot de passe était ensuite stocké « en clair » dans les systèmes d’INFOGREFFE et transmis par e-mail, également « en clair ».

La CNIL a rappelé à INFOGREFFE que le stockage « en clair » des mots de passe ou de la « question secrète » ne permet pas d’assurer la sécurité des données des utilisateurs[4] ; le fait de limiter le mot de passe à seulement huit caractères non plus[5].

De plus, la Commission française a constaté qu’aucune notification n’était envoyée aux utilisateurs lorsque leur mot de passe était modifié, ce qu’elle considère être également contraire aux exigences de sécurité du RGPD[6].

Par ailleurs, la CNIL reproche à INFOGREFFE de n’avoir pas respecté les durées de conservation relatives aux données personnelles des utilisateurs. La politique du site indiquait que les données étaient conservées 36 mois « à compter de la dernière commande de prestation et/ou de documents ». En réalité, « aucune procédure de suppression automatique des données à caractère personnel n’a été mise en place par l’organisme ». Les données de près d’un million de personnes étaient ainsi conservées dans les systèmes d’INFOGREFFE « sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs ».

De manière générale, la CNIL considère que les faits reprochés à INFOGREFFE, notammment « l’accumulation des défauts de sécurité », sont « d’une particulière gravité » et que l’organisme aurait dû « faire preuve d’une particulière rigueur dans le respect de l’ensemble de ses obligations légales et réglementaires » puisqu’il regroupe « les greffiers des tribunaux de commerce, qui sont des officiers publics et ministériels chargés de l’exécution de missions de service public ».

Une amende de 250 000 euros a été prononcée à l’encontre de l’organisme INFOGREFFE.

Lire :

Ma réaction à cette décision

Le pire n’est pas de stocker les mots de passe de ses utilisateurs en clair, de les transmettre en clair par e-mail, ou d’utiliser des mots de passe faibles. Non, le pire est de considérer cela normal et de plaider dans ce sens. Selon INFOGREFFE, puisque personne n’a vraisemblablement profiter des faiblesses de sécurité de son système, c’est que les mesures prises étaient manifestement adaptées.

« En défense, [INFOGREFFE] fait valoir que l’obligation de sécurité est une obligation de moyens qui doit être appréciée in concreto et que son inexécution doit être constatée par un constat de l’inefficacité des mesures mises en œuvre, ayant conduit à un accès non autorisé, ce qui n’est pas le cas en l’espèce. »

Entendre de telles choses est extrêmement préoccupant et fait craindre le pire sur l’état du système d’information d’INFOGREFFE. On ne peut pas évaluer le niveau de sécurité d’un système à partir des éventuelles attaques subies. Si un vélo est déposé sans antivol et qu’il n’est pas dérobé, cela ne veut pas dire qu’il est correctement protégé. Non, cela veut simplement dire que personne n’a profité de la faiblesse de sécurité. Lorsqu’il ne s’agit que de votre vélo, cela ne vous impacte que vous, mais lorsqu’il s’agit des données de millions de personnes, dont leurs mots de passe, ce n’est plus la même histoire.

De plus, l’organisme a également indiqué, pour tenter de se justifier, que les « chantiers relatifs à l’anonymisation et à la sécurité des données à caractère personnel » ont été retardés, car d’autres chantiers étaient plus prioritaires. Les risques liés à la conservation de mots de passe en clair sont connus depuis 15 ans[7]. Depuis 15 ans, INFOGREFFE considère donc qu’il a mieux à faire que de protéger les données de ses utilisateurs. Une telle mauvaise foi devrait être plus sévèrement punie.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. 24 millions de personnes dans le monde en 2020 ont visité le site INFOGREFFE.FR et 3,7 millions de personnes disposent d’un compte (source: délibération de la CNIL, §8).
  4. Pour des raisons de sécurité, les mots de passe ne doivent pas être stockés en clair, mais doivent être chiffrés en utilisant une fonction de hachage robuste. Voir « Quels sont les risques à stocker les mots de passe de ses utilisateurs en clair ? » et « Ne stockez pas les mots de passe de vos utilisateurs en clair ».
  5. La CNIL recommande que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux. Si une mesure complémentaire est prise, comme la suspension temporaire des comptes, le minimum est abaissé à 8 caractères (source : CNIL, délibération n° 2017-012, 19 janvier 2017, recommandation relative aux mots de passe). Voir « Vers de nouvelles recommandations relatives aux mots de passe pour les éditeurs ».
  6. Lorsque des données à caractère personnel sont traitées, le RGPD indique de prendre « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
  7. En 2006, le fait de stocker des informations sensibles était considérée comme une vulnérabilité (source : CWE-313).