Données personnelles: la CNIL inflige une amende de 180.000 euros à Active Assurances
La CNIL enchaîne les amendes pour défaut de protection des données personnelles. Ce 25 juillet, la Commission nationale de l'informatique et des libertés annonce une sanction de 180.000 euros à l'encontre d'Active Assurances, pour atteinte à la sécurité des données des clients.
Une enquête menée par l'autorité administrative indépendante a prouvé un défaut de sécurité sur le site de la société d'assurance, www.activeassurances.fr, qui permet de demander des devis, de souscrire des contrats ou encore d'accéder à son espace personnel.
Des cartes grises et RIB
Les comptes de clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. "Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite", précise la CNIL. Des documents permettant de savoir si une personne avait fait l'objet d'un retrait de permis ou commis un délit de fuite pouvaient également être retrouvés par ce biais.
Plusieurs milliers de clients concernés
Le défaut de sécurité, qui a affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société, a été signalé par un client en juin 2018. A partir de son compte, il avait pu accéder aux données personnelles d'autres clients.
Parmi les manquements d'Active Assurances dans la protection des comptes de ses clients, la CNIL note le fait que certains mots de passe correspondaient tout simplement à la date de naissance des clients. Par ailleurs, après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et mentionnés en clair dans le corps du message.
Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD). La formation restreinte a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL.