Par délibération du 18 juillet 2019, la formation restreinte de la CNIL a prononcé, une nouvelle fois, une sanction à l’encontre d’une société n’ayant pas mis en œuvre les mesures nécessaires afin d’assurer un niveau de sécurité adéquate des données à caractère personnel.
ACTIVE ASSURANCES est une société ayant une activité d’intermédiaire en assurance, concepteur et distributeur de contrats d’assurance automobile à des particuliers, en vente directe ou en vente en ligne. Pour les besoins de son activité, la société édite le site web www.activeassurances.fr, sur lequel les personnes peuvent demander des devis ou souscrire des contrats d’assurance automobile.
Après avoir été alertée par un client d’ACTIVE ASSURANCES, la CNIL a, au cours d’une mission de contrôle en ligne en date du 28 juin 2018, constaté qu’une requête effectuée à partir des mots clés « client.activeassurances.fr » et « site:client.activeassurances.fr » faisait apparaître des liens hypertextes permettant d’accéder librement à certains comptes de clients de la société, sans authentification préalable. La CNIL a ainsi pu avoir accès aux nom, prénom, adresse postale, adresse électronique et numéro de téléphone des personnes concernées et a été en mesure de télécharger plusieurs documents PDF concernant ces personnes.
La société a été informée par téléphone le même jour, par la CNIL, de l’existence du défaut de sécurité sur son site, sans que cette information ne constitue une mise en demeure. Un courrier électronique contenant le type d’adresses URL concernées lui a également été adressé. Il était demandé à la société de prendre les mesures correctives nécessaires pour y remédier dans les plus brefs délais afin d’éviter tout accès aux données personnelles par des tiers non autorisés. A la suite de cette information, ACTIVE ASSURANCES a assuré que des mesures avaient été prises afin de remédier au défaut de sécurité.
Le 12 juillet suivant, lors de la mission de contrôle dans les locaux de la société, cette dernière a, en effet, informé la délégation qu’elle avait pris des mesures dès le 29 juin afin que les documents de ses clients ne soient plus accessibles à des tiers non autorisés. Elle a ainsi précisé « avoir modifié le code source du site web ne générant pas d’authentification des personnes pour accéder à leur espace client, ainsi que le paramétrage des documents stockés sur le service Microsoft Azure, celui-ci étant, avant l’alerte de la CNIL, configuré de telle sorte que les fichiers étaient accessibles publiquement depuis internet ». La CNIL a, suite à ces déclaration, effectué une requête à partir des mots clés client.activeassurances.fr site:client.activeassurances.fr dans les moteurs de recherche Bing, Qwant et Yahoo. Elle a constaté qu’une liste de liens hypertextes renvoyant vers les comptes clients était toujours affichée dans les résultats de recherche mais que ceux-ci renvoyaient vers la page de connexion à l’espace client ou vers un message d’erreur « ResourceNotFound ».
La CNIL a également constaté que les mots de passe de connexion des clients à leur espace personnel, dont le format était imposé par la société, correspondaient à leur date de naissance et que ce format était indiqué sur les formulaires de connexion. Il a également été constaté que, après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et indiqués en clair dans le corps du message.
Ainsi, tout en soulignant la diligence de la société ACTIVE ASSURANCES qui a réagi rapidement après la révélation de l’incident pour le corriger, la formation restreinte a relevé que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement de son site web, ce qui a rendu possible la survenance de la violation de données à caractère personnel.
Elle a ainsi relevé que la violation de données à caractère personnel aurait pu être évitée si, par exemple :
- la société avait mis en œuvre une mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter ;
- la société avait mis en place de mesures permettant de limiter l’indexation des documents par les moteurs de recherche, au moyen, par exemple, d’un fichier robot.txt ;
- la société avait imposé aux utilisateurs l’utilisation de mots de passe plus robustes et ne les avait pas transmis en clair par courriel.
Par ailleurs, la CNIL a souligné que l’accès aux données ne nécessitait aucune opération complexe ni aucune maitrise technique particulière en matière informatique et a concerné un nombre « particulièrement important » de données à caractère personnel et de documents concernant les clients de la société.
De surcroit, « le formulaire de connexion des clients à leur espace personnel indiquait expressément le format des mots de passe de connexion, à savoir la date de naissance des personnes, ce qui facilitait considérablement une attaque par force brute, ce d’autant que le format des mots de passe était indiqué sur le formulaire de connexion au compte client. La formation restreinte relève également que les clients désirant renforcer la sécurité de leurs données et modifier leur mot de passe en étaient empêchés par la société qui avait imposé le format relatif à la date de naissance ».
La CNIL a également constaté qu’« aucune mesure complémentaire pour l’authentification des personnes, telle qu’une limitation du nombre de tentatives en cas de mots de passe erronés, n’avait été mise en place ».
Le manquement à l’article 32 du RGPD étant établi, la CNIL a prononcé à l’encontre d’ACTIVE ASSURANCES une amende administrative d’un montant de 180.000 €.
Lien vers la décision : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992
