Actives Assurances est une société de courtage d’assurances spécialisée dans la distribution de contrats d’assurance automobile en ligne à des particuliers. Les clients et prospects peuvent, depuis le site web, demander un devis, souscrire un contrat mais aussi accéder à leur espace personnel.
La CNIL a reçu un signalement de la part d’un des clients de la société, indiquant qu’il pouvait avoir accès aux données personnelles d’autres clients via son espace particulier sur le site web d’Active Assurances.
Après avoir procédé à un premier contrôle, la CNIL a constaté que les données personnelles des utilisateurs du site étaient effectivement accessibles directement via des liens hypertextes référencés sur un moteur de recherche. Parmi les données personnelles se trouvaient des relevés d’identité bancaire, des permis de conduire, des cartes grises… l’accessibilité à ces données était constitutive d’une violation des données personnelles et impliquait de la part de la société de remédier immédiatement à cette faille de sécurité.
Un second contrôle effectué par la CNIL à la suite des mesures prises par Active Assurances a permis de relever que les mesures étaient insuffisantes pour protéger les données personnelles des utilisateurs. En effet, les identifiants et mots de passe étaient mentionnés en clair dans le corps du message envoyé aux utilisateurs du site et les mesures prises n’étaient pas suffisantes pour éviter le référencement par les moteurs de recherches. De plus, Active Assurance prévoyait des mots de passe renvoyant à la date de naissance des utilisateurs sans aucune possibilité de les modifier par la suite.
Dans sa délibération en formation restreinte, la CNIL rappelle l’importance du principe de « Privacy by design ». En l’espèce, l’historique des clients relatif à l’assurance automobile en ligne était accessible, ce qui impliquait la possibilité de « savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite ou encore un refus d’obtempérer ». Or, les données relatives à des infractions doivent faire l’objet d’une protection renforcée en vertu de l’article 83 du RGPD, ce qui n’est pas le cas en l’espèce.
En outre, la société indiquait avoir fait le choix de la configuration d’un mot de passe simple de sorte que les utilisateurs « puissent accéder aisément à leur espace personnel et communiquer dans des conditions conviviales et pratiques avec leur courtier ». Cet argument a été rejeté par la CNIL qui affirme qu’il appartient au responsable de traitement « de mettre en œuvre des mesures de sécurité destinées à assurer la sécurité de toutes les données à caractère personnel qu’elle traite », en l’espèce l’absence de robustesse des mots de passe constituait une faille de sécurité.
Enfin, la société soutenait que pour identifier un défaut de sécurité sur son site web, des compétences informatiques techniques étaient nécessaires et qu’une personne physique dépourvue de ces compétences n’était pas en mesure d’identifier un défaut de sécurité. La CNIL a également rejeté cet argument en affirmant que « la simple modification du numéro apparaissant dans l’adresse URL est à la portée de tout utilisateur d’un navigateur dès lors que cette adresse apparaît dans le navigateur de tout client de la société se connectant à son compte »
En raison de la nature des données en cause (particulièrement identifiantes et parfois relatives à des infractions ou des données bancaires …), la CNIL a prononcé une sanction de 180.000 euros à l’égard de la société Active Assurances sur le fondement de l’article 32 du RGPD, marquant ainsi une nouvelle fois l’importance pour toutes les sociétés de mettre en œuvre des moyens techniques et organisationnels suffisants pour protéger les données qu’elles collectent.