Quelles sont les normes et règles fondamentales à respecter en matière de protection des données lorsqu’un acteur du monde de l’assurance les rend, d’une façon ou d’une autre, accessibles sur son site internet ?
Pierre Craponne, avocat collaborateur, Cabinet Choisez
Il est rare qu’une décision de justice révèle les fondamentaux et soubassements de l’analyse d’un régulateur et son mode d’action lors des contrôles.
On savait la Cnil volontiers pédagogue dans ses décisions, mais la sanction prononcée par sa formation restreinte en date du 18 juillet 2019 (n° SAN-2019-007) et publiée au Journal officiel, condamnant la société Active assurances à payer une amende de 180 000 € pour avoir insuffisamment protégé les données des utilisateurs de son site web, dépasse largement le cadre du courtier sanctionné.
En effet, au-delà de la sanction prononcée elle-même, et de la publicité qui lui est faite pendant deux ans (date à laquelle la décision sera anonymisée), la Cnil dévoile en filigrane les normes et règles fondamentales à respecter en matière de protection des données lorsqu’un acteur du monde de l’assurance les rend, d’une façon ou d’une autre, accessibles sur son site internet.
Des faits classiques
Les faits sont classiques, s’agissant d’un courtier grossiste qui conçoit et distribue des contrats d’assurance automobile à une clientèle de particuliers, essentiellement via une vente en ligne.
Pour les besoins de son activité, la société édite le site www.activeassurances.fr sur lequel les personnes peuvent demander des devis ou souscrire des contrats d’assurance automobile en ligne.
Le 1er juin 2018, la Cnil a été informée par un unique client de la société Active assurances qu’il avait, en utilisant le site internet précité, eu accès directement aux données d’autres clients sans aucune procédure d’authentification préalable.
Quelques jours après, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) avisait la Cnil que l’accès aux données à caractère personnel était possible sans contrôle, notamment depuis un moteur de recherche connu et facilement disponible sur le Net.
Une enquête a donc été diligentée par la Cnil qui, lors de sa mission de contrôle, constatera que notamment à partir de ce moteur de recherche et grâce à des mots-clés, on pouvait faire apparaître des liens hypertexte permettant d’accéder librement à certains comptes de clients.