FORUM QUE CHOISIR
Que Choisir : Expert - Independant - Militant
retour au site

Active assurances : sanction de 180 000 euros pour atteinte à la sécurité des données des clients

Nico37
Consom'acteur *****
Consom'acteur *****
Messages : 2653
Enregistré le : 26 mars 2012, 21:45

Active assurances : sanction de 180 000 euros pour atteinte à la sécurité des données des clients

Messagepar Nico37 » 25 juil. 2019, 10:26

https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients
ACTIVE ASSURANCES : sanction de 180 000 euros pour atteinte à la sécurité des données des clients 25 juillet 2019

La formation restreinte de la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES pour avoir insuffisamment protégé les données des utilisateurs de son site web.

La société ACTIVE ASSURANCES a une activité d’intermédiaire en assurance et de concepteur et distributeur de contrats d’assurance automobile à des particuliers. Pour les besoins de son activité, elle édite le site web http://www.activeassurances.fr sur lequel les personnes peuvent demander des devis, souscrire des contrats ou encore accéder à leur espace personnel.

En juin 2018, la CNIL a reçu un signalement d’un client de la société indiquant que, à partir de son compte, il avait pu accéder aux données personnelles d’autres clients.

Un contrôle en ligne a permis de constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.

Le même jour, la CNIL a alerté la société de ce défaut de sécurité et de la violation de données qui en résultait, et lui a demandé d’y remédier.

Quelques jours plus tard, la société a informé la CNIL que des mesures avaient été prises. Un contrôle sur place a alors été réalisé dans les locaux de la société. Il a permis de constater que :

- les mesures prises n’étaient pas suffisantes pour empêcher le référencement ;
- les mots de passe de connexion aux espaces personnels, dont le format était imposé par la société, correspondaient à la date de naissance des clients, ce format étant par ailleurs indiqué sur les formulaires de connexion ;
- après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et mentionnés en clair dans le corps du message.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD).

La formation restreinte a considéré que :

- la société aurait dû s’assurer que chaque personne souhaitant accéder à un document était bien habilitée à le consulter ;
- le référencement par les moteurs de recherche aurait pu être évité à l’aide d’un fichier « robot.txt » par exemple ;
- la société aurait dû imposer aux utilisateurs d’utiliser des mots de passe plus robustes et ne pas les transmettre en clair par courriel.

En conséquence, la formation restreinte a prononcé une amende de 180 000 euros et décidé de rendre publique sa sanction. Elle a notamment tenu compte de la gravité du manquement, en raison de la nature des données et des documents en cause (pièces d’identité, informations relatives à des infractions, données bancaires etc.). Elle a également tenu compte du nombre de personnes concernées, le défaut de sécurité ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société. La formation restreinte a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL.

Pour approfondir : délibération de la formation restreinte n° SAN – 2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société ACTIVE ASSURANCES https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992

Un problème juridique - Abonnement intégral Que Choisir + 4 questions juridiques
 


  • A lire aussi
    Réponses
    Vues
    Dernier message

Retourner vers « Racontez-vous : Bons plans et Mésaventures »



Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 5 invités

En savoir plus