La CNIL passe à l'offensive en matière de manquement aux obligations des entreprises de se conformer au règlement général sur la protection des données personnelles (RGPD). Un peu plus d'un mois après avoir sanctionné le groupe Sergic à 400 000 euros d'amende, c'est au tour d'une autre société, Active Assurances, d'être épinglée par la commission nationale de l'informatique et des libertés.
« Sur la base des investigations menées, la formation restreinte - organe de la CNIL chargé de prononcer les sanctions - a considéré que la société avait manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD) », a annoncé la commission dans un communiqué. Résultat : une amende de 180 000 euros a été infligée et la sanction rendue publique. « Elle [la CNIL] a notamment tenu compte de la gravité du manquement, en raison de la nature des données et des documents en cause (pièces d’identité, informations relatives à des infractions, données bancaires etc.). Elle a également tenu compte du nombre de personnes concernées, le défaut de sécurité ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société ». Toutefois, la sanction aurait pu être plus lourde, la CNIL ayant dans sa décision « pris en compte la réactivité de la société dans la correction du défaut de sécurité » et sa coopération avec ses services.
Une procédure qui fait suite à un signalement client
Les manquements retenus à l'encontre d'Active Assurances sont de plusieurs ordres : « la société aurait dû s’assurer que chaque personne souhaitant accéder à un document était bien habilitée à le consulter, le référencement par les moteurs de recherche aurait pu être évité à l’aide d’un fichier « robot.txt » par exemple et la société aurait dû imposer aux utilisateurs d’utiliser des mots de passe plus robustes et ne pas les transmettre en clair par courriel », a expliqué la CNIL.
L'affaire remonte à juin 2018 lorsqu'un client d'Active Assurances a signalé à la commission avoir été capable, à partir de son compte, d'accéder aux données personnelles d'autres clients. Suite à un contrôle en ligne, la CNIL a alors constaté « que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite ». Après avoir informé Active Assurances de ces défauts, la société a déclaré avoir fait le nécessaire mais un contrôle réalisé sur place a permis de constater les manquements reprochés.