Sécurité des données des clients : un assureur sanctionné par la Cnil

La formation restreinte de la Cnil a prononcé une sanction de 180.000 € à l’encontre de la société Active assurances pour avoir insuffisamment protégé les données des utilisateurs de son site web.

En juin 2018, la Commission nationale de l’informatique et des libertés (Cnil) a reçu le signalement d’un client de la société Active assurances, intermédiaire en assurance et assureur automobile, indiquant que, à partir de son compte, il avait pu accéder aux données personnelles d’autres clients.
Un contrôle en ligne a permis de constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant en fin d’URL. Il pouvait s’agir de copies de permis de conduire, de cartes grises, de relevés d’identité bancaire ou de documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.
La Cnil a immédiatement alerté la société de ce défaut de sécurité et lui a demandé d’y remédier. Quelques jours plus tard, après que la société a informé la Cnil que des mesures avaient été prises, un contrôle sur place a été réalisé dans les locaux de la société.
Ce contrôle a permis de constater que :- les mesures prises n’étaient pas suffisantes pour empêcher le référencement ;- les mots de passe de connexion aux espaces personnels, dont le format était imposé par la société, correspondaient à la date de naissance des clients, ce format étant par ailleurs indiqué sur les formulaires de connexion ;- après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et mentionnés en clair dans le corps du message.
La formation restreinte de la Cnil a considéré que la société avait manqué à son obligation de sécurisation des données personnelles et estimé que :- la société aurait dû s’assurer que chaque personne souhaitant accéder à un document était bien habilitée à le consulter ;- le référencement par les moteurs de recherche aurait pu être évité à l’aide d’un fichier « robot.txt » par exemple ;- la société aurait dû imposer aux utilisateurs d’utiliser des mots de passe plus robustes et ne pas les transmettre en clair par courriel.
En conséquence, la formation restreinte a prononcé 18 juillet 2019 une amende de 180.000 € et décidé de rendre publique sa sanction.

– Communiqué de presse de la Cnil du 25 juillet 2019 – “ACTIVE ASSURANCES : sanction de 180 000 euros pour atteinte à la sécurité des données des clients” – https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients
– Délibération de la formation restreinte de la Cnil n° SAN – 2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société ACTIVE ASSURANCES – https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients