Commentaire – Décision de la Commission des sanctions de la CNIL Active Assurances du 25 juillet 2019
Le 25 juillet 2019, la formation restreinte de la Commission Nationale Informatique et Liberté (CNIL) a prononcé une sanction de 180 000 euros à l’encontre de la société Active Assurances, pour avoir insuffisamment protégé les données des utilisateurs de son site Internet . Explications.
Les faits
La société Active Assurances a une activité de distribution et d’intermédiation d’assurance en ligne et de conception et distribution de contrats d’assurance automobile en ligne à des particuliers. Employant 160 salariés dont 150 situés à Madagascar au sein d’une filiale, elle a fondé son processus d’acquisition client sur le site Internet www.activeassurances.fr dont elle est éditrice. Grâce à celui-ci, ses prospects et clients peuvent demander des devis, souscrire des contrats ou encore accéder à leur espace personnel.
En juin 2018, la CNIL a reçu un signalement de violation de données à caractère personnel : à partir de son compte, un de ses clients avait pu accéder aux données à caractère personnel d’autres clients.
Un contrôle en ligne a permis de constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche . Les documents et données des clients étaient aussi accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Parmi les documents figuraient notamment les copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait commis un délit de fuite ou fait l’objet d’un retrait de permis.
Le même jour, la CNIL a alerté la société respectivement du défaut de sécurité impactant son site et de la violation de données qui en résultait tout en lui demandant d’y remédier.
La société a informé la CNIL que des mesures avaient été prises passé quelques jours. Le régulateur a procédé alors à un contrôle sur place dans les locaux de la société permettant de constater qu’en réalité les :
- mesures prises n’étaient pas suffisantes pour empêcher le référencement ;
- mots de passe de connexion aux espaces personnels, dont le format était imposé par la société, correspondaient à la date de naissance des clients, ce format étant par ailleurs indiqué sur les formulaires de connexion ;
- identifiants et mots de passe de connexion, après la création de leur compte, étaient transmis aux clients par emails et mentionnés en clair dans le corps du message.
Défaut de sécurité ayant entrainé une violation de donnée à caractère personnel
Sur la base des investigations menées, la formation restreinte de la CNIL, chargée de prononcer les sanctions, a considéré que la société avait manqué à son obligation de sécurisation des données à caractère personnel en méconnaissance des dispositions de l’article 32 du Règlement général sur la protection des données (RGPD).
La formation restreinte a notamment constaté l’absence de mesure d’authentification et de gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était bien habilité à le consulter. Ce défaut de sécurité remontait dès sa conception, le site étant défectueux depuis 2014.
Or, un tel référencement par les moteurs de recherche aurait pu être évité à l’aide par exemple d’un fichier « robots.txt ». Des mesures élémentaires ne nécessitant pas de développements techniques importants aurait pu, aussi, être mis en place.
La résolution des failles figurait pourtant parmi les 10 failles de sécurité les plus surveillées selon les bonnes pratiques de l’Open Web Application Security Project (OWASP) sachant que la vérification des URL fait partie intégrante de tout audit de sécurité web.
Active Assurances n’avait donc pas placé la sécurité des données à caractère personnel de ses clients au cœur de ses préoccupations que tardivement et après le signalement en vain d’un client et après l’intervention des services de la CNIL.
Absence de robustesse des mots de passes des comptes clients
L’accès aux espaces personnels en ligne se faisait par le numéro client et leur date de naissance avec aucune limitation du nombre de tentatives en cas de mots de passe émis. Cette situation ne permettait pas d’assurer la sécurité des données traitées et empêcher notamment des attaques par force brute . Or, la société aurait dû respecter et appliquer les bonnes pratiques recommandées par la CNIL.
Avec cette décision, la CNIL rappelle ses bonnes pratiques en matière de robustesse de mots de passes consistant en 12 caractères comprenant une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial, le tout accompagné d’une mesure complémentaire .
Le format de mots de passe était également indiqué sur les formulaires de connexion expliquant expressément le mode de connexion futur favorisant considérablement les potentielles attaques en force brutes. Imposé par la société, ce format ne pouvait être changé par les clients, leur date de naissance étant maintenu.
Les mots de passe étaient, enfin, transmis aux clients par emails et mentionnés en clair dans le corps des messages. Une telle pratique pouvait les rendre accessible à tous après un accès à leur boite mail personnel. Or, la société aurait dû imposer pas les transmettre en clair par email.
Rejet des observations et sanction de Active Assurances :
Tenant compte de la gravité du manquement en raison de la nature des données et des documents en cause et leur nombre , la formation restreinte a prononcé sur le fondement de l’article 20-III de la Loi informatique et liberté de 1978 et l’article 93 du RGPD, en conséquence une amende de 180 000 euros et décidé de rendre publique sa sanction.
La CNIL a également tenu compte du nombre de personnes impactées par le manquement, le défaut de sécurité ayant affecté plusieurs milliers de comptes clients et de personnes ayant résilié leur contrat avec la société.
Elle a, néanmoins, pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec ses services.
Par ses services d'assistance face à des contrôles, d'accompagnements, d'audits, de formations, de veilles réglementaire, Regalex aide les intermédiaires en assurance et plus largement tout professionnel à ne pas violer leurs obligations en matière de données à caractère personnel.