Abonnés

Jurisprudence

Sécurisation des données : ce que la Cnil attend

Publié le 10 septembre 2019 à 8h00    Mis à jour le 10 septembre 2019 à 9h03

Stéphane Choisez, avocat associé, cabinet Choisez

Quelles sont les normes et règles fondamentales à respecter en matière de protection des données lorsqu’un acteur du monde de l’assurance les rend, d’une façon ou d’une autre, accessibles sur son site internet ?

Stéphane Choisez, avocat associé, cabinet Choisez
Pierre Craponne, avocat collaborateur, Cabinet Choisez

Il est rare qu’une décision de justice révèle les fondamentaux et soubassements de l’analyse d’un régulateur et son mode d’action lors des contrôles.

On savait la Cnil volontiers pédagogue dans ses décisions, mais la sanction prononcée par sa formation restreinte en date du 18 juillet 2019 (n° SAN-2019-007) et publiée au Journal officiel, condamnant la société Active assurances à payer une amende de 180 000 € pour avoir insuffisamment protégé les données des utilisateurs de son site web, dépasse largement le cadre du courtier sanctionné.

En effet, au-delà de la sanction prononcée elle-même, et de la publicité qui lui est faite pendant deux ans (date à laquelle la décision sera anonymisée), la Cnil dévoile en filigrane les normes et règles fondamentales à respecter en matière de protection des données lorsqu’un acteur du monde de l’assurance les rend, d’une façon ou d’une autre, accessibles sur son site internet.

Des faits classiques

Les faits sont classiques, s’agissant d’un courtier grossiste qui conçoit et distribue des contrats d’assurance automobile à une clientèle de particuliers, essentiellement via une vente en ligne.

Pour les besoins de son activité, la société édite le site www.activeassurances.fr sur lequel les personnes peuvent demander des devis ou souscrire des contrats d’assurance automobile en ligne.

Le 1er juin 2018, la Cnil a été informée par un unique client de la société Active assurances qu’il avait, en utilisant le site internet précité, eu accès directement aux données d’autres clients sans aucune procédure d’authentification préalable.

Quelques jours après, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) avisait la Cnil que l’accès aux données à caractère personnel était possible sans contrôle, notamment depuis un moteur de recherche connu et facilement disponible sur le Net.

Une enquête a donc été diligentée par la Cnil qui, lors de sa mission de contrôle, constatera que notamment à partir de ce moteur de recherche et grâce à des mots-clés, on pouvait faire apparaître des liens hypertexte permettant d’accéder librement à certains comptes de clients.

Dépêches

Chargement en cours...

Les articles les plus lus

Etat-major

Abonnés WTW en France

La filiale française du courtier américain WTW entend s’appuyer sur son implantation unique sur le…

Louis Johen La Tribune de l'Assurance 20/11/2024

Régime prudentiel

Abonnés Solvabilité II : le régime prudentiel fait peau neuve

Après plusieurs années de négociations, la révision de la directive Solvabilité II a abouti à un…

BM&A La Tribune de l'Assurance 12/11/2024

Rédaction des polices

Abonnés Les clauses d’exclusion sous contrôle

L’ACPR a relevé de nombreuses irrégularités relatives aux clauses d’exclusion de garantie des…

Mehdi ElAouni La Tribune de l'Assurance 02/12/2024

Dans la même rubrique

Abonnés Quand l’acquéreur doit supporter les errements du promoteur-maître d’ouvrage

La Cour de cassation vient de rendre deux arrêts concernant la responsabilité des constructeurs et...

Abonnés Les Français, l’écologie et le rôle des assureurs

Les Français se disent de plus en plus conscients des risques environnementaux. Si 81% d’entre eux...

Abonnés Perspectives 2025 de la transformation de l'assurance

L’assurance en France continue de se transformer à la lumière des incertitudes globales et des...

Voir plus

Chargement en cours...

Chargement…