Derniers articles
Le 18 juillet 2019, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 180.000 € à l’encontre de la société Active Assurances, en raison d’un manquement à son devoir de protection des données à caractère personnel de ses clients sur son site Internet.
La société Active Assurances exploite une activité d’intermédiaire en assurance, de concepteur et distributeur de contrats d’assurance automobile pour les particuliers.
Cette société édite un site Internet (www.activeassurances.fr) sur lequel les utilisateurs peuvent, entre autres, demander des devis, souscrire à des contrats ou accéder à leur espace personnel.
C’est à la suite d’un signalement opéré par l’un des utilisateurs du site auprès de la CNIL qu’une procédure de contrôle avait été engagée.
Au cours de cette procédure, les inspecteurs ont identifié un certain nombre de manquements en matière de protection des données sur Internet, notamment quant à la protection de l’espace client.
Au cours du mois de juin 2018, la CNIL a reçu un signalement provenant d’un des utilisateurs du site.
L'utilisateur indiquait ainsi qu’il avait pu accéder, à partir de son compte personnel, aux données à caractère personnel d’autres clients du site.
Un contrôle en ligne a permis à la CNIL de constater que :
« les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur ».
Ce manque important de sécurisation des données à caractère personnel était d’autant plus alarmant qu’il permettait l’accès à de nombreux documents, tels que des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.
Cette faille de sécurité concernait donc, entre autres, des données bancaires, des données contenant le n° NIR ainsi que des données relatives aux infractions pénales.
La CNIL a donc alerté la société Active assurance de ce défaut de sécurité et par conséquent des potentielles violations de données à caractère personnel qui pouvaient en résulter.
La CNIL avait ainsi demander à la société en question de remédier sans délai aux manquements constatés.
C’est lors d’un contrôle sur place, après que la société ait informé la CNIL que des mesures avaient été prises, que les manquements de la société Active Assurance ont été clairement identifiés.
En effet, la délégation de la CNIL a notamment pu constater que :
Les mesures de sécurité prises par la société apparaissaient donc comme absolument insuffisantes, avant que le site soit sécurisé suite à l’alerte de la CNIL.
C’est à la suite des investigations menées que la formation restreinte a pu considérer que la société Active Assurances avait gravement manqué à son obligation de sécurisation des données à caractère personnel, obligation prévue par l’article 32 du RGPD.
A l’issue de l’instruction menée, le rapporteur nommé proposait à la formation restreinte de prononcer une sanction d’un montant de 375.000 €, avec publication de la décision.
A cet égard, la formation restreinte a jugé en synthèse que :
Toutefois, la formation restreinte a noté que la société, une fois avisée, avait réagi rapidement afin de mettre fin aux manquements constatés.
Pour ces motifs, une amende de 180.000 € a été infligée à la société, avec une sanction complémentaire de publicité de la décision.
La CNIL explique sa sanction dans un communiqué dans lequel elle évoque avoir notamment :
« tenu compte de la gravité du manquement, en raison de la nature des données et des documents en cause. [Mais également] du nombre de personnes concernées, le défaut de sécurité ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société ».
Toutefois la CNIL s’est tout de même montrée conciliante face à la bonne foi de la société car la sanction aurait pu être plus lourde.
Elle explique également dans son communiqué, avoir : « pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL ».
Bien qu’il apparaisse que la CNIL a fait preuve d’une relative clémence, l’ajout d’une sanction de publicité de la décision n’est pas anodin.
En effet, il semble que la CNIL cherche à mettre en avant son intransigeance face aux négligences en matière de protection des données à caractère personnel, notamment en ce qui concerne la sécurisation des espaces clients en ligne.
A la suite de l’entrée en vigueur du RGPD et à l’ère d’un partage massif des données, la CNIL ne peut pas rester de marbre face aux manquements des entreprises à leurs obligations de sécurisation.
Cette affaire relative à la société Active Assurances intervient seulement un mois après que la CNIL a sanctionné le groupe Sergic à 400 000€ d’amende pour ses manquements en matière de gestion des données à caractère personnel.
Il s’agit pour la CNIL de mettre en avant des exemples en passant à l’offensive en matière de manquement aux obligations des entreprises de se conformer au règlement général sur la protection des données.
Pour accéder à la décision complète :