Les données de milliers d'assurés non protégées : la Cnil sanctionne un courtier

 |   |  861  mots
La Cnil a infligé une amende de 180.000 euros à la société Active Assurances pour avoir insuffisamment protégé les données personnelles des utilisateurs de son site web.
La Cnil a infligé une amende de 180.000 euros à la société Active Assurances pour avoir insuffisamment protégé les données personnelles des utilisateurs de son site web. (Crédits : Charles Platiau)
Active Assurances, un courtier spécialisé dans la distribution en ligne de contrats d'assurance automobile, a écopé d'une amende de 180.000 euros de la Cnil. Les documents (permis de conduire, cartes grises, Rib) de plusieurs milliers de clients actuels ou anciens étaient accessibles en ligne.

La Commission nationale de l'informatique et des libertés (Cnil) avait promis plus de fermeté quant aux manquements au règlement européen relatif à la protection des données personnelles (RGPD). Elle s'y est tenue. La Cnil a fait savoir, ce jeudi 25 juillet, qu'elle avait prononcé une sanction de 180.000 euros à l'encontre de la société Active Assurances pour avoir insuffisamment protégé les données personnelles des utilisateurs de son site web. C'est la première fois qu'une entreprise du secteur financier (banques et assurances) fait l'objet d'une telle sanction.

"Cette décision peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de sa notification", précise le gendarme des données personnelles à La Tribune.

Créée en 2010 et basée à Boulogne-Billancourt, Active Assurances, qui compte parmi ses actionnaires Bpifrance et le fonds Activa Capital, est un courtier spécialisé dans la distribution en ligne de contrats d'assurance automobile. Il a récemment mis la main sur Afi Assurances, qui distribue, lui, des contrats d'assurance santé et prévoyance. L'ensemble nouvellement créé représente un chiffre d'affaires annuel de 20 millions d'euros.

"En juin 2018, la Cnil a reçu un signalement d'un client de la société indiquant que, à partir de son compte, il avait pu accéder aux données personnelles d'autres clients", raconte dans un communiqué de presse l'autorité en charge d'assurer la protection des données personnelles en France.

Copies de permis de conduire, cartes grises et Rib accessibles en ligne

"Un contrôle en ligne a permis de constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur", poursuit la Cnil.

Parmi ces documents : des copies de permis de conduire, des cartes grises, des relevés d'identité bancaire, qui pourraient être utilisés de manière frauduleuse, mais aussi des documents permettant de savoir si une personne avait fait l'objet d'un retrait de permis ou commis un délit de fuite.

La Cnil explique avoir signalé immédiatement "ce défaut de sécurité et la violation de données qui en résultait" à Active Assurances et lui avoir demandé d'y remédier. Le courtier a informé quelques jours plus tard avoir adopté des mesures. Mais lors d'un contrôle ultérieur réalisé dans les locaux de la société, la Cnil a identifié d'autres défauts de protection :  les mots de passe attribués aux clients par Active Assurances correspondaient à leurs dates de naissance et étaient transmis "en clair" par courriel.

Des correctifs insuffisants

Les mesures prises pour empêcher le référencement des données clients n'étaient par ailleurs "pas suffisantes". Le courtier "a manqué à son obligation de sécurisation des données personnelles, prévue par l'article 32 du RGPD (Règlement européen sur la protection des données personnelles)", conclut la Cnil.

Le RGPD permet aux régulateurs nationaux comme la Cnil d'infliger des amendes pouvant aller jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros. Le montant de l'amende infligée à Active Assurances, 180.000 euros, a pris en compte plusieurs éléments : la gravité du manquement, en raison de la nature des données et des documents en cause (pièces d'identité, informations relatives à des infractions, données bancaires, etc.), et le nombre de personnes concernées, le défaut de sécurité ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société.

"La formation restreinte [l'organe chargé de prononcer les sanctions, ndlr] a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la Cnil", précise le communiqué.

9 sanctions pécuniaires prononcées en 2018

Ce n'est pas la première fois qu'un acteur du monde de l'assurance se retrouve dans le collimateur de la Cnil. En octobre dernier, le gendarme des données personnelles avait décidé de rendre publique la mise en demeure de plusieurs sociétés des groupes de protection sociale Humanis et Malakoff-Médéric. La Cnil leur reprochait d'avoir abusivement utilisé des fichiers concernant près de 16 millions d'assurés.

Au total, la Cnil a procédé à 310 contrôles en 2018. "Ceux-ci ont débouché sur 48 mises en demeure, dont 13 ont été rendues publiques. Et 11 sanctions, dont 9 pécuniaires, ont été prononcées", avait détaillé à La Tribune, Marie-Laure Denis, la nouvelle présidente de la Cnil, lors d'une précédente interview. Un peu plus tard, début 2019, Google avait  écopé d'une amende record de 50 millions d'euros. "La Cnil a volontairement fait preuve de patience et de tolérance, car le RGPD est un changement profond. Mais, même s'il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu'il faut désormais faire preuve de davantage de fermeté", avait-elle ajouté.

(avec AFP)

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 26/07/2019 à 11:43 :
En voilà un qui aurait dû utiliser la Blockchain. J'ai bon?
a écrit le 26/07/2019 à 11:41 :
En voilà un qui ne connait rien à la Blockchain.
a écrit le 25/07/2019 à 19:21 :
Le web c’est la rue, la seule sécurité est de déconnecter le tout et vivre sans ou mettre en place des outils avec « la garantie « que les messages ne sont pas lus par autrui( abus de pouvoir , confiance...) ou il n’y a pas d’extraction d’infos sans consentement. ( piratage ...)

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :