Les données de milliers de clients du courtier Active Assurances n'étaient pas protégées. La CNIL a décidé de le sanctionner.
Courtier spécialisé dans la distribution de contrats d'assurance automobile en ligne, Active Assurances propose à ses clients et prospects potentiels de demander des devis, de souscrire des contrats ou bien d'accéder à leur espace personnel depuis son site Internet. La société a été épinglée par la Commission nationale de l'informatique et des libertés (CNIL), qui avait reçu un signalement en juin 2018.
Les données de milliers de clients étaient accessibles en ligne
Le gendarme des données a procédé à un contrôle en ligne des activités d'Active Assurances qui a révélé que les comptes des clients du courtier étaient accessibles sur le Web via des liens hypertextes référencés sur un moteur de recherche. Parmi les données consultables, on pouvait retrouver des copies de cartes grises, de permis de conduire ou encore des relevés d'identité bancaire.Lire aussi :
RGPD : la CNIL veut instaurer un vrai acte de consentement des internautes qui acceptent cookies et traceurs
RGPD : la CNIL veut instaurer un vrai acte de consentement des internautes qui acceptent cookies et traceurs
Une amende de 180 000 euros
Après avoir alerté la société des manquements constatés, la CNIL a procédé à un second contrôle, sur place, pour vérifier si Active Assurances avait pris les mesures nécessaires. Or, l'autorité a constaté que celles-ci n'étaient pas suffisantes. Elle a notamment relevé des mots de passe identiques à la date de naissance des assurés, ainsi que des identifiants et mots de passe de connexion envoyés par mail aux clients mentionnés en clair dans le corps du message.En se basant sur l'article 32 du RGPD, la CNIL a infligé à Active Assurances une amende de 180 000 euros. Plusieurs milliers d'assurés et d'anciens clients ayant résilié leur contrat avec le courtier auraient été affectés par ce défaut de sécurisation des données.
Source : CNIL