La Cnil a prononcé une sanction de 180 000 € à l’encontre de l’assureur Active Assurances pour avoir insuffisamment protégé les données des utilisateurs de son site web. A la lecture de l’avis de la Cnil, on a surtout le sentiment que l’assureur a fait montre d’une grande candeur et d’un manque de connaissance des bonnes pratiques les plus élémentaires en matière de sécurité informatique. La Cnil semble avoir eu la main lourde en termes de sanction dans ce cas.
Signalement par un client auprès de la Cnil
En juin 2018, la Cnil avait reçu un signalement d’un client de la société indiquant que, à partir de son compte sur le site web, il avait pu accéder aux données personnelles d’autres clients. Un contrôle en ligne effectué par la Cnil a permis de constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche.
Les documents et les données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.
Le même jour, la Cnil alertait la société de ce défaut de sécurité et de la violation de données qui en résultait, et lui a demandé d’y remédier. Quelques jours plus tard, Active Assurances informait la Cnil que des mesures avaient été prises. Un contrôle sur place a alors été réalisé dans les locaux de la société toujours par la Cnil. Il a montré la grande candeur de l’assureur en matière de sécurité.
Le mot de passe était la date de naissance
Les mesures prises n’étaient pas suffisantes pour empêcher le référencement ; le format des mots de passe de connexion aux espaces personnels était imposé par la société, et correspondait à la date de naissance des clients. Et ce format était indiqué sur les formulaires de connexion ; après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par email et mentionnés en clair dans le corps du message.
La Cnil a considéré que la société avait manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD).
Active Assurances aurait dû s’assurer que chaque personne souhaitant accéder à un document était bien habilitée à le consulter ; le référencement par les moteurs de recherche aurait pu être évité à l’aide d’un fichier « robot.txt » par exemple ; la société aurait dû imposer aux utilisateurs d’utiliser des mots de passe plus complexes et ne pas les transmettre en clair par email.
Plusieurs milliers de personnes concernées
Le défaut de sécurité a affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société. La société Active Assurances a une activité d’intermédiaire en assurance et de concepteur et distributeur de contrats d’assurance automobile aux particuliers. Elle gère le site web www.activeassurances.fr sur lequel les personnes peuvent demander des devis, souscrire des contrats ou accéder à leur espace personnel.
