À la suite d’une plainte dont elle a été saisie en 2020, la CNIL a procédé à un contrôle en ligne du site web infogreffe.fr, service de l'information légale et officielle des entreprises.

Les vérifications portaient notamment sur les durées de conservations définies et les mesures de sécurité mises en œuvre par le GIE INFOGREFFE.

Lors de son enquête, la CNIL a notamment relevé plusieurs manquements concernant le traitement des données personnelles des utilisateurs du service (les personnes ayant créé un compte pour la visualisation ou la commande d’un acte et les personnes abonnées disposant d’un abonnement annuel).

En effet, elle a notamment constaté des manquements au titre de l’article 5 du RGPD. Au 1er mai 2021, le GIE conservait « les données de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture ». Pour les abonnés, la durée de conservation était fixée à 36 mois. Le problème est que l’enquête a montré que l’organisme n’avait aucune procédure d’effacement des données et qu’elle a gardé des données à caractère personnel au-delà de la durée fixée.

Egalement, la CNIL constate un deuxième manquement lié cette fois-ci à l’article 32 du RGPD, la protection des données étant insuffisante. La CNIL tacle par ailleurs le nombre de caractères limités à 8 pour le mot de passe, jugé faible et constitue un risque réel de sécurité.

Ainsi, sur la base de ces constatations, la CNIL a prononcé une amende de 250 000 euros. Cette décision a été prise en coopération avec les autres autorités européennes concernées car des comptes utilisateurs ont été créés depuis tous les États membres de l’Union européenne.