Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt G.I.E. INFOGREFFE med 250 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL efter ett klagomål genomfört en granskning av webbplatsen infogreffe.fr, som gör det möjligt för användarna att söka juridisk information om företag och beställa handlingar som bestyrkts av handelsdomstolarna. Granskningen inriktades särskilt på de lagringsperioder som fastställts och de säkerhetsåtgärder som vidtagits av G.I.E. INFOGREFFE, som publicerar tjänsten för spridning av juridisk och officiell information om företag via webbplatsen.
CNIL har under sin granskning konstaterat flera brister i behandlingen av personuppgifter för tjänstens användare, dvs. personer som har skapat ett konto för att se eller beställa ett dokument och prenumeranter med årsabonnemang.
På webbplatsen infogreffe.fr anges enligt CNIL att medlemmarnas och abonnenternas personuppgifter, som bankuppgifter, efternamn, förnamn, postadresser och e-postadresser, fast eller mobil telefon, hemlig fråga och dess svar för återställande av lösenord, sparas i 36 månader från och med den senaste beställningen av en tjänst och/eller ett dokument. Enligt CNIL sparades dock uppgifter om 25 procent av tjänstens användare längre än den föreskrivna tiden. Den manuella anonymisering som G.I.E. INFOGREFFE genomfört på användarnas begäran gällde vidare endast en mycket litet antal konton. CNIL konstaterade därför att G.I.E. INFOGREFFE inte uppfyllt skyldigheten att endast lagra uppgifter under en tidsperiod som står i proportion till ändamålet med behandlingen enligt artikel 5.1 (e) GDPR.
CNIL konstaterade vidare att G.I.E. INFOGREFFE inte krävde att tjänstens användare skulle använda ett starkt lösenord när de skapade ett konto på webbplatsen, och att det varit omöjligt för de 3,7 miljoner kontona att ange ett säkert lösenord på grund av deras begränsade storlek. Därutöver överförde G.I.E. INFOGREFFE, via e-post, de icke tillfälliga lösenord som ger tillgång till kontona, lösenorden samt de hemliga frågor och svar som användes av användarna vid återställning av lösenord, i klartext. Enligt CNIL G.I.E. INFOGREFFE inte vidtagit tillräckliga åtgärder för att garantera säkerheten för de berörda medlemmarnas och användarnas uppgifter enligt artikel 32 GDPR.
Mot denna bakgrund ålade CNIL:s organ som ansvarar för att införa sanktionsavgifter, och i samarbete med andra berörda europeiska tillsynsmyndigheter eftersom det skapades användarkonton från alla EU:s medlemsstater, böter på 250 000 euro, vilket också offentliggjordes på myndighetens webbplats.