Bonjour à tous, Sanction : La CNIL a publié ce matin la sanction de 250 000 euros qu'elle a infligé au GIE Infogreffe. Le lien : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all Le communiqué : https://www.cnil.fr/fr/sanction-de-250-000-euros-lencontre-dinfogreffe Manquements : sécurité : mots de passe de 8 caractères max sans mesures complémentaires pour 3,7 millions de comptes conservation : 25% de comptes conservés au delà de la durée fixée et aucun processus d'anonymisation mis en oeuvre Faits intéressants : une plainte de décembre 2020 est l'origine du contrôle en ligne dans le contrôle en ligne, la charte de confidentialité a été récupérée elle cite ses propres sanctions en tant que référence pour l'obligation de sécurité des mots de passe (Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte). elle rappelle que l'obligation n'est pas nécessairement sanctionnée au moment T mais aussi par le passé (la période couverte par l'absence de sécurité des mots de passe remontait à 2002 elle indique que les recommandations mots de passe et guide de la sécurité constituent l'état de l'art et que, bien que non impératifs, ils constituent un référentiel pertinent pour évaluer les risques de sécurité elle rappelle que l'obligation de sécurité implique de garantir la sécurité en fonction des risques. Il importe peu que les données aient fait l'objet d'une violation. L'absence de mesures suffisantes pour contrecarrer les risques constitue le manquement et le rend sanctionnable. la durée de conservation annoncée par l'organisme dans sa charte de confidentialité est celle qui le lie. Il doit la respecter. la durée de conservation doit être établie par finalité et un passage en archivage intermédiaire doit être réalisé peu importe que le sous-traitant n'aie pas respecté ses instructions, il fallait suivre l'exécution du contrat et exercer un contrôle Qu'en retenir ? bien traiter les demandes des usagers en amont pour éviter les plaintes revoir sa politique de confidentialité régulièrement vérifier la cohérence avec les durées de conservation existantes auditer régulièrement son site web et ses formulaires de connexion avec mot de passe quand on fait appel à un sous-traitant, assurer le suivi des instructions N'hésitez à ajouter vos propres commentaires

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sanction INFOGREFFE par la CNIL : durées de conservation et sécurité

Jerome_Dastra

Bonjour à tous,

Sanction :

La CNIL a publié ce matin la sanction de 250 000 euros qu'elle a infligé au GIE Infogreffe.

Le lien : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all

Le communiqué : https://www.cnil.fr/fr/sanction-de-250-000-euros-lencontre-dinfogreffe

Manquements :

sécurité : mots de passe de 8 caractères max sans mesures complémentaires pour 3,7 millions de comptes
conservation : 25% de comptes conservés au delà de la durée fixée et aucun processus d'anonymisation mis en oeuvre

Faits intéressants :

une plainte de décembre 2020 est l'origine du contrôle en ligne
dans le contrôle en ligne, la charte de confidentialité a été récupérée
elle cite ses propres sanctions en tant que référence pour l'obligation de sécurité des mots de passe (Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte).
elle rappelle que l'obligation n'est pas nécessairement sanctionnée au moment T mais aussi par le passé (la période couverte par l'absence de sécurité des mots de passe remontait à 2002
elle indique que les recommandations mots de passe et guide de la sécurité constituent l'état de l'art et que, bien que non impératifs, ils constituent un référentiel pertinent pour évaluer les risques de sécurité
elle rappelle que l'obligation de sécurité implique de garantir la sécurité en fonction des risques. Il importe peu que les données aient fait l'objet d'une violation. L'absence de mesures suffisantes pour contrecarrer les risques constitue le manquement et le rend sanctionnable.
la durée de conservation annoncée par l'organisme dans sa charte de confidentialité est celle qui le lie. Il doit la respecter.
la durée de conservation doit être établie par finalité et un passage en archivage intermédiaire doit être réalisé
peu importe que le sous-traitant n'aie pas respecté ses instructions, il fallait suivre l'exécution du contrat et exercer un contrôle

Qu'en retenir ?

bien traiter les demandes des usagers en amont pour éviter les plaintes
revoir sa politique de confidentialité régulièrement
vérifier la cohérence avec les durées de conservation existantes
auditer régulièrement son site web et ses formulaires de connexion avec mot de passe
quand on fait appel à un sous-traitant, assurer le suivi des instructions

N'hésitez à ajouter vos propres commentaires