La Cnil, le gendarme français des données personnelles, a annoncé jeudi avoir sanctionné à hauteur de 180.000 euros la société Active Assurances pour avoir "insuffisamment protégé" les données de ses clients sur son site internet.
Le défaut de sécurité a affecté les comptes de "plusieurs milliers" de clients et de personnes ayant résilié leur contrat avec la société, spécialisée dans l'assurance des particuliers, précise le communiqué de la Cnil.
Saisie en juin 2018 par un client qui avait pu accéder aux données personnelles d'autres clients, le régulateur avait constaté que des liens vers les comptes des assurés étaient référencés sur un moteur de recherche et avait demandé à la société d'y remédier.
Parmi les documents librement accessibles se trouvaient des copies de permis de conduire, des cartes grises, des relevés d'identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l'objet d'un retrait de permis ou commis un délit de fuite.
Un contrôle ultérieur dans les locaux de la société avait mené à la découverte d'autres défauts de protection : les mots de passe attribués aux clients par Active Assurances correspondaient à leurs dates de naissance et étaient transmis "en clair" par courriel.
Les mesures prises pour empêcher le référencement des données clients n'étaient par ailleurs "pas suffisantes".
La société "a manqué à son obligation de sécurisation des données personnelles, prévue par l'article 32 du RGPD (Règlement européen sur la protection des données personnelles)", a souligné la Cnil.
Entré en vigueur le 25 mai 2018 dans l'Union européenne, le Règlement général européen sur la protection des données codifie les droits des internautes quant à l'utilisation de leurs données personnelles, et fixe des obligations aux entreprises pour assurer le respect de ces droits.
Le RGPD permet aux régulateurs nationaux comme la Cnil d'infliger des amendes pouvant aller jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros.