CNIL – Formation restreinte – Décision du 18 juillet 2019

Décision n° SAN-2019-007

La société ACTIVE ASSURANCES (ci-après, la société AA) a une activité d’intermédiaire en assurance, concepteur et distributeur de contrats d’assurance automobile à des particuliers, en vente directe ou en vente en ligne. La société emploie environ 160 salariés, dont 150 sont situés à Madagascar au sein d’une succursale de la société. Pour les besoins de son activité, la société édite un site web, sur lequel les personnes peuvent demander des devis ou souscrire des contrats d’assurance automobile. La société obtient des clients, majoritairement via son site web, et par le biais de comparateurs d’assurances automobiles disponibles sur d’autres sites web.

Le 1er juin 2018, la CNIL a été informée, par un client de la société AA, qu’il avait accès aux données d’autres clients sans procédure d’authentification préalable. Le 27 juin suivant, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a également avisé la CNIL que l’accès aux données à caractère personnel des utilisateurs du site web de la société était possible sans contrôle préalable depuis le moteur de recherche Duckduckgo.

La mission de contrôle diligentée par la CNIL a constaté qu’une requête effectuée au sein du moteur de recherche Duckduckgo à partir des mots clés client.activeassurances.fr site:client.activeassurances.fr faisait apparaître des liens hypertextes permettant d’accéder librement à certains comptes de clients de la société, sans authentification préalable. En cliquant sur ces liens, la délégation a pu accéder à des comptes de clients – comportant notamment leur nom, prénom, adresse postale, adresse électronique, numéro de téléphone – et télécharger plusieurs documents PDF concernant des personnes, tels que des pièces d’identité, des devis, des attestations d’assurance automobile ou encore des contrats d’assurance. La délégation a également constaté que la modification du numéro identifiant apparaissant à la fin d’une des adresses URL affichées dans les résultats de recherche du moteur de recherche Duckduckgo permettait d’accéder aux comptes personnels d’autres clients de la société.

La société a été informée par téléphone le même jour, par la délégation, de l’existence d’un défaut de sécurité sur son site. Un courrier électronique contenant le type d’adresses URL concernées lui a également été adressé. Il était demandé à la société de prendre les mesures correctives nécessaires pour y remédier dans les plus brefs délais afin d’éviter tout accès aux données personnelles par des tiers non autorisés.

Par courrier du 2 juillet 2018, la société a indiqué à la Commission, par l’intermédiaire de son conseil, que plusieurs mesures avaient été prises afin de remédier au défaut de sécurité.

Le 12 juillet suivant, lors de la mission de contrôle dans les locaux de la société, cette dernière a informé la délégation qu’elle avait pris des mesures dès le 29 juin afin que les documents de ses clients ne soient plus accessibles à des tiers non autorisés.

À l’issue de son instruction, le rapporteur de la CNIL a fait notifier à la société AA, le 5 avril 2019, un rapport détaillant le manquement relatif à l’article 32 du RGPD qu’il estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer à l’encontre de la société AA, une amende administrative d’un montant de 375 000 euros et qui serait rendue publique.

Dans sa délibération du 18 juillet 2019, la formation restreinte de la CNIL prononce une sanction de 180 000 euros, au visa de l’article 32 du RGPD, et ordonne la publication de la décision, aux motifs suivants :

1°) Sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel

En l’espèce, le manquement est double.

► Sur le défaut de sécurité ayant entraîné la violation de données à caractère personnel

⬥ Tout en soulignant la diligence de la société qui a réagi rapidement après la révélation de l’incident pour le corriger, la formation restreinte relève que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement de son site web, ce qui a rendu possible la survenance de la violation de données à caractère personnel.

La formation restreinte estime que la violation de données à caractère personnel résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre une mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter.

Elle considère que ce défaut de sécurité démontre que, dès sa conception en 2014, le site web de la société était défectueux et que celle-ci n’avait pas mis en place les mesures appropriées et élémentaires de sécurité.

De plus, le défaut de sécurité a été amplifié par le fait que les documents des personnes, librement accessibles depuis le site web de la société, ont été indexés par les moteurs de recherche Duckduckgo, Bing, Qwant et Yahoo. Cette indexation a été rendue possible dès lors que la société n’avait pas mis en place de mesures permettant de limiter celle-ci par les moteurs de recherche, au moyen, par exemple, d’un fichier robot.txt.

Par ailleurs, la formation restreinte estime que la société aurait dû mettre en place ces mesures élémentaires qui ne nécessitaient pas de développements techniques importants.

La société n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du Règlement.

⬥ La formation restreinte constate que la société a mis en place les mesures correctives nécessaires à la sécurisation des données à caractère personnel et prend acte du fait qu’un plan de remédiation plus général, permettant d’assurer sa conformité avec la règlementation, a été déterminé.

Cependant, la formation restreinte relève que la résolution du défaut de sécurité n’a pu être effectuée qu’à la faveur d’un signalement d’un client de la société qui a tenté en vain de l’en informer en mai 2018. En outre, les mesures élémentaires nécessaires à la sécurisation des données de ses clients n’ont été mises en place par la société qu’après le signalement puis l’intervention des services de la Commission auprès de celle-ci.

La formation restreinte considère dès lors que la société n’a placé la sécurité des données de ses clients au cœur de ses préoccupations qu’après l’intervention des services de la Commission.

⬥ En second lieu, en ce qui concerne le nombre de personnes concernées par le défaut de sécurité, la formation restreinte relève que la délégation a constaté, lors du contrôle sur place, que la base contenait 148 359 numéros de téléphone distincts et 144 057 adresses électroniques distinctes concernant des clients. La société a précisé, à cette occasion, que les données personnelles et pièces justificatives relatives à tous les contrats conclus par la société, résiliés ou non, étaient librement accessibles en raison du défaut de sécurité constaté.

En outre, un grand nombre de documents étaient rendus accessibles du fait du défaut de sécurité affectant le site web de la société, à savoir notamment 144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 relevés d’identité bancaire, 119 517 devis ou encore 36 068 copies de déclarations de cession d’un véhicule.

Chaque document contient, de par sa nature, de multiples informations sur la personne concernée telles que ses nom, prénom, adresse postale, adresse électronique, date et lieu de naissance, coordonnées bancaires, immatriculation du véhicule ou encore des éléments relatifs à la suspension du permis de conduire et les motifs de résiliation de garantie de la part de la société.

Par conséquent, le défaut de sécurité a concerné un nombre particulièrement important de données à caractère personnel et de documents concernant les clients de la société.

De plus, la formation restreinte relève que le défaut de sécurité a concerné des documents contenant des éléments permettant de révéler des informations particulièrement précises sur les personnes. Il était ainsi possible d’avoir accès à l’historique des clients en matière d’assurance automobile et de savoir ainsi si une personne avait fait l’objet d’une résiliation ou d’une annulation de contrat pour fausse déclaration ou pour non-paiement d’une prime, ou encore si elle avait fait l’objet d’un retrait de permis ou commis un délit de fuite ou un refus d’obtempérer.

Sur ce dernier point, la formation restreinte relève que les données en question sont relatives à des infractions commises par les personnes et aux suites qui leur ont été données. Elle rappelle que le considérant 83 du RGPD prévoit que les mesures permettant d’atténuer les risques inhérents au traitement doivent assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Par conséquent, de telles données, considérées comment étant des données particulières, doivent faire l’objet de la part des responsables de traitement d’une vigilance et d’une protection renforcées, ce qui n’a pas été le cas en l’espèce.

► Sur l’absence de robustesse des mots de passe d’accès aux comptes clients de la société

La délégation de la CNIL a constaté que les clients devaient se connecter à leur espace personnel accessible en ligne, via leur numéro client et leur date de naissance, cette seconde information valant mot de passe. La société a informé la délégation qu’aucune mesure complémentaire pour l’authentification des personnes, telle qu’une limitation du nombre de tentatives en cas de mots de passe erronés, n’avait été mise en place.

La formation restreinte rappelle que, pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, le mot de passe doit comporter au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou le mot de passe doit comporter au moins huit caractères – contenant trois de ces quatre catégories de caractères – et être accompagné d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses.

La formation restreinte relève que la nécessité d’un mot de passe fort est également soulignée par l’ANSSI, qui indique qu’« un bon mot de passe est avant tout un mot de passe fort, c’est à dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules ».

En outre, il ressort des constats effectués, que le formulaire de connexion des clients à leur espace personnel indiquait expressément le format des mots de passe de connexion, à savoir la date de naissance des personnes, ce qui facilitait considérablement une attaque par force brute, ce d’autant que le format des mots de passe était indiqué sur le formulaire de connexion au compte client. La formation restreinte relève également que les clients désirant renforcer la sécurité de leurs données et modifier leur mot de passe en étaient empêchés par la société qui avait imposé le format relatif à la date de naissance.

La formation restreinte considère, par conséquent, que les mots de passe mis en place par la société pour accéder aux comptes clients ne correspondaient pas aux exigences requises en termes de robustesse.

Enfin, en ce qui concerne la transmission des mots de passe aux clients de la société par courriel, en clair, après la création du compte, la formation restreinte relève qu’une telle procédure ne permet pas d’assurer la sécurité des données, dès lors que l’envoi d’un courriel non chiffré peut conduire à son interception par toute personne écoutant le réseau et à la prise de connaissance des informations qu’il contient.

La société a donc méconnu une mesure de sécurité élémentaire préconisée par la CNIL alors que la transmission des mots de passe en clair dans un courriel le rend accessible à tout tiers susceptible d’accéder à la messagerie électronique de la personne concernée.

Le manquement à l’article 32 du Règlement est constitué.

2°) Sur la sanction et la publicité

Tout d’abord, la CNIL considère qu’en l’espèce, les manquements précités justifient que soit prononcée une amende administrative à l’encontre de la société pour les motifs suivants.

Elle rappelle que face aux risques représentés par les violations de données à caractère personnel, le législateur européen a entendu renforcer les obligations des responsables de traitement en matière de sécurité des traitements. Ainsi, selon le considérant 83 du RGPD, « afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent Règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral ». Or, la formation restreinte observe que la société n’a pas mesuré, avant d’être alertée par les services de la CNIL, l’importance de la sécurisation des données personnelles contenues dans ses systèmes d’information, malgré la nature des données traitées.

Ensuite, la CNIL considère que la gravité du manquement est caractérisée en l’espèce :

– en raison de la nature des données personnelles concernées, la société traitant des données particulièrement identifiantes, ainsi que des données relatives à des infractions,

– en raison du nombre de documents et de personnes concernées par le défaut de sécurité, celui-ci ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société.

La formation restreinte rappelle, par ailleurs, que le défaut de sécurité est dû à une conception défectueuse de son site web par la société, développé en 2014, et qu’il a donc perduré pendant plusieurs années. En outre, la mise en œuvre d’une procédure d’authentification sur le site ainsi que celle d’une directive limitant l’indexation par les moteurs de recherche de certaines parties du site web étaient des mesures élémentaires.

Enfin, la formation restreinte relève que les décisions de sanction invoquées par la société ont été adoptées sous l’empire de la loi Informatique et Libertés telle que modifiée par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, qui prévoyait que le montant de sanctions pouvant être prononcées par la formation restreinte ne pouvait excéder 3 millions d’euros. Les faits de l’espèce ont, eux, été constatés alors que le RGPD était entré en application et que le manquement constaté est susceptible de donner lieu à une amende pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Toutefois, que la société a réagi rapidement après avoir eu connaissance de la violation de données en mettant en place des mesures correctrices vingt-quatre heures après avoir été alertée par les services de la CNIL. Elle prend également acte de ce que la société a coopéré avec la CNIL dans le cadre des différents échanges entretenus avec ses services à la suite des contrôles et de sa bonne foi dans la résolution du défaut de sécurité.

Elle relève enfin que la société a informé ses clients de la survenance du défaut de sécurité et qu’aucun dommage les concernant n’a été porté à sa connaissance.

Compte tenu de l’ensemble de ces éléments, la formation restreinte, tenant compte des critères fixés à l’article 83 du RGPD, estime qu’une amende administrative à hauteur de 180 000 euros est justifiée et proportionnée, ainsi qu’une sanction complémentaire de publicité pour les mêmes motifs.

Pour mémoire, la formation restreinte de la CNIL a motivé sa décision de sanction du 18 juillet 2019, au visa des deux textes suivants :

L’article 20-III de la loi du 6 janvier 1978, modifiée : « Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes:

[…]

7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ».

L’article 83 du RGPD : « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement, visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ;

et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ».

Mots Clé : Article 20-III de la loi du 6 janvier 1978 – Article 32 du RGPD – Article 83 du RGPD – Sécurité et la confidentialité des données à caractère personnel : manquement (oui) – Site web défectueux dès sa conception (oui) – Absence de mise en place les mesures appropriées et élémentaires de sécurité (oui) – Protection renforcée des données sensibles – Absence de robustesse des mots de passe d’accès aux comptes clients de la société – Modalités de transmission sécurisée des mots de passe – Communication des mots de passe par simple emails : défaut de sécurité élémentaire sanctionnable – Sanction de la CNIL (oui) – Amende administrative – Amende effective, proportionnée et dissuasive (oui) – Sanction complémentaire de publicité (oui).