22 août 2019
RGPD : Active Assurances écope de 180.000 euros d’amendes pour atteintes à la sécurité des données clients
Dans un environnement métier de l’assurance où règne une concurrence effrénée, les données occupent une place stratégique. Et tous les assureurs sont communément d’accord pour accepter que cette manne digitale appartient au courtier.
Ce droit bien apprécié confère pourtant des devoirs à ces distributeurs, notamment à l’heure du RGPD (règlement sur la gestion personnelle de données, ndlr). Le courtier Active Assurances vient de l' apprendre à ses dépens. En effet, la CNIL, instance de contrôle de cette réglementation, vient de sévir en le sanctionnant. Il devra s’acquitter d’une amende de 180 000 euros pour atteinte à la sécurité des données personnelles.
Active Assurances est un intermédiaire en assurance. Pour ce faire, il conçoit et distribue des contrats auto à des particuliers. A l’heure du digital, le courtier avait mis en place un espace Web marchand. Il s’agit d’un véritable outil interactif où les assurés potentiels et réels peuvent demander des devis, souscrire des contrats voire accéder à un espace personnel sécurisé. Pourtant, cet espace réputé verrouillé avait montré des limites car il permettait d’accéder aux données d’autres clients. Faille qui n’avait pas échappé à un assuré. Ce dernier a pu montrer à la CNIL qu’à partir de cet espace, il avait la possibilité de visualiser les données d’autres clients.
Sensibiliser avant de punir ?
Fidèle à son modus operandi qui vise avant tout à sensibiliser plutôt que punir, le régulateur a pu d’abord constater qu’effectivement, les comptes clients peuvent être accédés de l’extérieur à travers des liens hypertextes depuis un moteur de recherche. La CNIL a acté que l’on pouvait donc accéder à des données clients telles la copie de permis de conduire, relevés d’identité bancaire (RIB), relevé de situation vis-à-vis de la police – depuis l’extérieur.
Active Assurances, qui avait informé le régulateur sur les mesures qu’il avait prises entre-temps pour respecter la loi relative au RGPD, ne l’a pas convaincu. Sur place, le régulateur a pu constater, après un contrôle in situ, que les mesures prises n’étaient pas suffisantes pour empêcher le référencement ; d’autre part, les mots de passe de connexion étaient adossés à un format imposé par Active Assurances, format curieusement indiqué sur les formulaires de connexion. Et surtout, ces éléments d’identification étaient envoyés explicitement par la suite, via courriel, aux clients, donc susceptibles d’être interceptés par des cybercriminels.
Lasse ! la CNIL a considéré que l’accusé avait réellement manqué à son obligation de sécurisation de données personnelles comme prévue par l’article 32 du RGPD. D’où une amende de 180 000 euros tout en décidant de rendre publique une telle sanction. Pour autant, elle a tenu compte de la réactivité du courtier dans la correction du défaut signalé, sans oublier sa coopération avec les services du régulateur.
Un peu plus d’un an après l’entrée en vigueur du RGPD, la CNIL poursuit donc son œuvre de sensibilisation mais n’exclut pas de frapper. Active Assurance l’a appris à ses dépens. Et les courtiers généralement tous équipés d’espaces web commerciaux devraient s’inspirer de cet exemple et réagir le cas échéant.
Emmanuel Mayega