La CNIL (Commission Nationale Informatique et Libertés) a rendu public un nouvel avis de sanction. Cette fois-ci c’est Active Assurance qui écope d’une amende de 180 000€.
L’amende a pour motif l’insuffisante protection des données des utilisateurs de son site Web. Active Assurance propose des services d’assurance automobile à travers son site Web pour les particuliers.
A partir d’un signalement par un client indiquant que, à partir de son compte, il avait pu accéder aux données personnelles d’autres clients. Un contrôle en ligne a permis de constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.
La CNIL a alerté l’entreprise sur ce défaut de sécurité et l’entreprise a réagi promptement. Cependant les mesures prises étaient loin d’être suffisantes et les mots de passe et les identifiants n’étaient pas assez protégés.
Plusieurs milliers de clients affectés
La commission a donc décidé de sanctionner après une visite sur le site de l’entreprise. La commission a tenu compte de la gravité du manquement, en raison de la nature des données et des documents en cause (pièces d’identité, informations relatives à des infractions, données bancaires, etc.). Elle a également tenu compte du nombre de personnes concernées, le défaut de sécurité ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société.
La formation restreinte a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL.