Actualités

Prendre un RDV
Ces notes d’actualité ont été réalisées sur la base de la jurisprudence existante et des textes législatifs et règlementaires en vigueur au moment de leur mise en ligne. Elles ne constituent nullement un conseil personnalisé et n’ont pas pour vocation à se substituer à une consultation individualisée. A ce titre elles ne sauraient, en aucun cas, entrainer la responsabilité du cabinet.


Sécurité et confidentialité des données personnelles : nouvelle condamnation par la CNIL

Lundi 16 Septembre 2019

La CNIL, informée par un client de la société Active Assurances, de la possibilité pour lui d'accéder aux données des autres clients de la société via son compte en ligne, opère un contrôle et demande à la société de remédier à cette situation irrégulière.

Si la société Active Assurances s'est montrée plutôt réactive, les mesures et moyens entrepris sont apparus insuffisants pour pallier le défaut de sécurité des données personnelles de ses clients.

La CNIL désigne dès lors un rapporteur en vue d'instruire le dossier, lequel propose, à la formation restreinte de la CNIL, le prononcé d'une amende de 180 000 euros pour violation de l'article 32 du RGPD relatif à la garantie de sécurisation des données à caractère personnel.

 

La formation restreinte, après avoir entendu la société et le rapporteur le 13 juin 2019, relève deux manquements à l'obligation d'assurer la sécurité et la confidentialité des données à caractère personnel.

D'une part, la CNIL remarque que l'accès aux données des clients était possible à partir d'une manipulation simple, qui ne nécessitait aucune compétence technique particulière et, qu'en ce sens, la société n'a pas mis en œuvre les mesures techniques appropriées afin de garantir la sécurité des données de ses clients.

La CNIL relève également que la société Active Assurances n'a pris en considération l'importance de la sécurité des données de ses clients qu'après l'intervention de la CNIL à ce sujet, et que le défaut de sécurité a concerné un nombre trop important de données à caractère personnel et de documents concernant ses clients.

 

D'autre part, la formation restreinte rappelle les mesures de sécurité exigées en matière de mot de passe et constate, de fait, l'absence de robustesse des mots de passe d'accès aux comptes clients de la société Active Assurances.

En effet, la société Active Assurances indiquait expressément le format des mots de passe de connexion (soit la date de naissance des clients) sur le formulaire de connexion au compte client, sans que les clients ne puissent déroger à ce format. Par ailleurs, le mot de passe des clients était transmis par courriel, non chiffré, et pouvait donc être intercepté aisément par tout tiers accédant à la messagerie du client concerné.

 

En conséquence, la CNIL a prononcé, le 18 juillet 2019, à l'encontre de la société Active Assurances, une amende administrative d'un montant de 180.000 euros ainsi que la publicité de cette délibération.