La CNIL inflige une sanction de 180 000 euros pour atteinte à la sécurité des données d’un site web d’un courtier en assurance
Une entreprise d’assurance automobile à des particuliers qui exerçait son activité en vente directe et en ligne a été sanctionnée par la CNIL par une délibération du 18 juillet 2019 pour manquement à l’obligation de sécurité et de confidentialité des données (RGPD, art. 32).
La révélation de la faille à la CNIL par un client de l’entreprise, puis par l’ANSSI, a conduit à un contrôle en ligne et sur place le 28 juin 2018. Les données à caractère personnel des clients étaient accessibles en ligne sans authentification préalable.
Sans mise en demeure préalable, la société est sanctionnée d’une amende d’un montant de 180 000 euros et à la publicité de la décision sur le site de Légifrance qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
La CNIL reproche particulièrement à la société que :
- Un défaut de sécurité ayant entraîné la violation de données à caractère personnel
Des données sensibles telles que des infractions commises par les personnes (retrait de permis ou délit de fuite) étaient accessibles à l’aide d’une simple manipulation consistant en une modification de l’adresse URL laquelle « ne nécessite aucune opération complexe ni maîtrise technique particulière en matière informatique » selon la CNIL, en plus d’autres données identifiantes telles que copies de permis de conduire, de cartes grises, des relevés d’identité bancaire .
Elle rappelle à cette occasion qu’il est important qu’un serveur, lors du traitement d’une requête, procède à la vérification préalable des autorisations d’accès dont dispose l’émetteur de la requête en question. La société d’assurance qui s’était abstenue de mettre en place les mesures appropriées et élémentaires de sécurité dès la conception du site en 2014 a donc été lourdement condamnée six ans plus tard.
Selon la CNIL, cette violation aurait pu être évitée si la société s’était assuré que chaque personne souhaitant accéder à un document était bien habilitée à le consulter et avait utilisé un fichier robot.txt lequel aurait permis de limiter l’indexation des documents concernés par les moteurs de recherche.
- L’absence de robustesse des mots de passe d’accès aux comptes clients de la société
Par ailleurs, les clients de la société accédaient à leur espace personnel à l’aide de leur numéro client et d’un mot de passe consistant en leur date de naissance. Selon le rapporteur, « l’insuffisante robustesse des mots de passe ne permet pas d’assurer la sécurité des données traitées par la société et d’empêcher des attaques par force brute ». Enfin, la transmission des mots de passe de manière non sécurisée, une fois le compte créé, n’est pas non plus de nature à assurer la sécurité des données.
Notons que le rapporteur du dossier évoquait une sanction de 375 000 euros, correspondant à 3,5% du chiffre d’affaires de l’entreprise. La CNIL retient la moitié du montant de la sanction, compte tenu notamment de la nature des données concernées par le manquement de sécurité, la rapidité des mesures correctives mises en œuvre, ainsi que sa coopération durant l'ensemble de la procédure.