Le secteur des assurances touché à son tour, la CNIL prononce une sanction à l’égard d’Active Assurances

25 juillet 2019

Accueil | Actualités
CNIL

Malgré la période estivale, la CNIL continue à infliger des sanctions pour les manquements des organisations en matière de protection des données personnelles. Le 18 juillet, l’autorité de contrôle française a sanctionné à hauteur d’une amende de 180.000€, une entreprise d’assurance pour une défaillance grave dans la protection des données des utilisateurs de son site web.

Pour les besoins de son activité, la compagnie d’assurance en question collecte des données personnelles via des formulaires de souscription de contrat ou des demandes de devis en ligne.

La CNIL a été alertée par un des clients de la compagnie d’assurance, lequel a accédé accidentellement aux données d’un autre utilisateur.

La CNIL a alors procédé à un contrôle en ligne qui lui a permis de constater qu’un grand nombre de documents (tels que cartes grises et RIB) étaient en effet accessibles via des liens hypertextes référencés sur un moteur de recherche.

Malgré l’avertissement de la CNIL à la société Active Assurances, celle-ci n’a pas pris les mesures suffisantes pour résoudre l’incident et assurer une meilleure protection par la suite. De nouvelles investigations menées ont mis en évidence les manquements suivants :

  • Sécurité insuffisante concernant les mots de passe d’accès aux comptes (mots de passe correspondant aux dates de naissance des clients, lesquelles étaient communiquées dans le formulaire de connexion) ;
  • Transmission des informations de connexion aux clients après l’ouverture de leur compte par email et en clair dans le corps du texte.

Compte tenu de la gravité du manquement, la CNIL a décidé de rendre publique sa décision de sanctionner. Dans la définition du montant de l’amende infligée, la CNIL précise avoir tenu compte du nombre de personnes concernées par cette violation, ainsi que de la réactivité de la société dans la correction de cette faille de sécurité.

Cet exemple est révélateur des négligences en matière de sécurité des données, trop souvent observées. Pourtant, des cas comme celui-ci, à l’origine de sanctions, pourraient être évités en respectant simplement quelques principes de bases. La CNIL préconise notamment de :

  • Stocker les mots de passe de façon sécurisée en appliquant la règle de complexité ;
  • Prévoir un mécanisme d’authentification de complexe à fort ;
  • Mettre en place un contrôle de droit d’accès dans les infrastructures ;
  • Mettre en place un chiffrement efficace des documents collectés ;
  • Empêchez les robots d’indexation d’accéder à tout ou partie de votre site web en utilisant un robot.txt ;
  • Enfin, sensibiliser les collaborateurs à la sécurité informatique.

Le secteur des assurances touché à son tour, la CNIL prononce une sanction à l’égard d’Active Assurances

Malgré la période estivale, la CNIL continue à infliger des sanctions pour les manquements des organisations en matière de protection des données personnelles. Fin juillet, l’autorité de contrôle française a sanctionné à hauteur d’une amende de 180.000€, une entreprise d’assurance pour une défaillance grave dans la protection des données des utilisateurs de son site web.

Pour les besoins de son activité, la compagnie d’assurance en question collecte des données personnelles via des formulaires de souscription de contrat ou des demandes de devis en ligne.

La CNIL a été alertée par un des clients de la compagnie d’assurance, lequel a accédé accidentellement aux données d’un autre utilisateur.

La CNIL a alors procédé à un contrôle en ligne qui lui a permis de constater qu’un grand nombre de documents (tels que cartes grises et RIB) étaient en effet accessibles via des liens hypertextes référencés sur un moteur de recherche.

Malgré l’avertissement de la CNIL à la société Active Assurances, celle-ci n’a pas pris les mesures suffisantes pour résoudre l’incident et assurer une meilleure protection par la suite. De nouvelles investigations menées ont mis en évidence les manquements suivants :

  • Sécurité insuffisante concernant les mots de passe d’accès aux comptes (mots de passe correspondant aux dates de naissance des clients, lesquelles étaient communiquées dans le formulaire de connexion) ;
  • Transmission des informations de connexion aux clients après l’ouverture de leur compte par email et en clair dans le corps du texte.

Compte tenu de la gravité du manquement, la CNIL a décidé de rendre publique sa décision de sanctionner. Dans la définition du montant de l’amende infligée, la CNIL précise avoir tenu compte du nombre de personnes concernées par cette violation, ainsi que de la réactivité de la société dans la correction de cette faille de sécurité.

Cet exemple est révélateur des négligences en matière de sécurité des données, trop souvent observées. Pourtant, des cas comme celui-ci, à l’origine de sanctions, pourraient être évités en respectant simplement quelques principes de bases. La CNIL préconise notamment de :

  • Stocker les mots de passe de façon sécurisée en appliquant la règle de complexité ;
  • Prévoir un mécanisme d’authentification de complexe à fort ;
  • Mettre en place un contrôle de droit d’accès dans les infrastructures ;
  • Mettre en place un chiffrement efficace des documents collectés ;
  • Empêchez les robots d’indexation d’accéder à tout ou partie de votre site web en utilisant un robot.txt ;
  • Enfin, sensibiliser les collaborateurs à la sécurité informatique.
Le CEPD recale la version préliminaire des critères d’accréditation des organismes de contrôle de suivi des codes de conduites de l’autorité de contrôle autrichienne
Guide de sensibilisation au RGPD destiné aux collectivités territoriales