BFM Business

Données personnelles: la CNIL inflige une amende de 180.000 euros à Active Assurances

Active Assurances écope d'une amende de 180.000 euros pour avoir mal protégé les données de ses clients.

Active Assurances écope d'une amende de 180.000 euros pour avoir mal protégé les données de ses clients. - ETIENNE LAURENT / AFP

L'autorité administrative justifie son amende par une atteinte à la sécurité des données des clients d'Active Assurances. Leurs comptes, ainsi que des permis de conduire et des RIB stockés sur le site de la société, étaient insuffisamment protégés.

La CNIL enchaîne les amendes pour défaut de protection des données personnelles. Ce 25 juillet, la Commission nationale de l'informatique et des libertés annonce une sanction de 180.000 euros à l'encontre d'Active Assurances, pour atteinte à la sécurité des données des clients.

Une enquête menée par l'autorité administrative indépendante a prouvé un défaut de sécurité sur le site de la société d'assurance, www.activeassurances.fr, qui permet de demander des devis, de souscrire des contrats ou encore d'accéder à son espace personnel. 

Des cartes grises et RIB

Les comptes de clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. "Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite", précise la CNIL. Des documents permettant de savoir si une personne avait fait l'objet d'un retrait de permis ou commis un délit de fuite pouvaient également être retrouvés par ce biais.

Plusieurs milliers de clients concernés

Le défaut de sécurité, qui a affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société, a été signalé par un client en juin 2018. A partir de son compte, il avait pu accéder aux données personnelles d'autres clients. 

Parmi les manquements d'Active Assurances dans la protection des comptes de ses clients, la CNIL note le fait que certains mots de passe correspondaient tout simplement à la date de naissance des clients. Par ailleurs, après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et mentionnés en clair dans le corps du message.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD). La formation restreinte a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL.

https://twitter.com/Elsa_Trujillo Elsa Trujillo Journaliste BFM Tech