9月13日，法国数据保护当局（CNIL）发布消息称，已对INFOGREFFE 处以 250,000欧元的行政罚款，理由是其违反了欧盟《通用数据保护条例》关于个人数据保留期限和安全性的多项义务。

infogreffe.fr 网站规定，会员和订阅者的个人数据（银行详细信息、姓名、邮政和电子邮件地址、电话和移动电话号码、秘密问题及其答案）将保留 36个月。但CNIL发现25% 的用户的数据被保留超过了确定的保留期限，应用户要求实施的手动匿名化仅涉及极少数账户。CNIL还发现，在infogreffe.fr网站上创建账户时不需要使用强密码，并且由于规模有限，370万个账户无法输入安全密码。此外，infogreffe通过电子邮件以明文形式传输用于访问账户的非临时密码，并将用户在密码重置过程中使用的密码、秘密问题及其答案以明文形式保存在其数据库中。

对此，CNIL认定infogreffe涉嫌违反GDPR第 5(1)(e) 条规定的数据保留要求和第32条规定的数据安全义务，遂对其处以罚款。

【来源：CNIL】