Active Assurances : La CNIL prononce une nouvelle sanction publique pour une atteinte à la sécurité des données de clients sur un site internet.

La CNIL a prononcé le 18 juillet 2019 une amende administrative de 180 000 € contre la société Active Assurances[1], exerçant les activités d’intermédiaire et distributeur de contrats d’assurances, pour ne pas avoir suffisamment sécurisé les données de ses clients sur son site activeassurances.fr (le « Site »).

Cette décision rappelle une nouvelle fois l’importance pour toute société traitant des données en ligne, quelle que soit sa taille et sa visibilité, d’accorder les moyens techniques et organisationnels appropriés pour les protéger contre les risques d’accès non autorisé et répondre ainsi aux obligations de sécurité prévues notamment par l’article 32 du RGPD. Elle apporte également de nouveaux éléments à prendre en compte dans l’appréciation concrète des exigences techniques de la CNIL.

Les faits ayant conduit à la sanction

Des manquements à la sécurité tristement ordinaires

Tout comme pour les deux affaires citées plus haut, c’est à l’origine un client qui a informé la CNIL, le 1^er juin 2018, qu’il avait pu accéder aux données d’autres clients une fois connecté au Site. De façon moins habituelle, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a avisé la CNIL de la possibilité d’accéder aux données des utilisateurs du site via le moteur de recherche Duckduckgo. La présidente de la CNIL a ordonné un contrôle en ligne qui a été réalisé le 28 juin 2018, au cours duquel la délégation a constaté :

• Qu’une recherche dans le moteur Duckduckgo permettait d’accéder aux comptes de clients de la société, sans authentification préalable (données d’identification et de contact [nom, prénom, adresse postale, adresse électronique, numéro de téléphone] et « plusieurs documents PDF concernant des personnes, tels que des pièces d’identité, des devis, des attestations d’assurance automobile ou encore des contrats d’assurance« ) et
• Que la modification de caractères de l’URL affichée dans les résultats de recherche permettait d’accéder aux comptes personnels d’autres clients.

La délégation de la CNIL en a informé la société le jour même par téléphone et courrier électronique, lui demandant « de prendre les mesures correctives nécessaires dans les plus brefs délais afin d’éviter tout accès aux données personnelles par des tiers non autorisés« .

Dès le 29 juin, la société a pris les mesures suivantes :

• Modification du code source du site pour demander une authentification lors de l’accès à l’espace client
• Sécurisation des liens indexés par les moteurs de recherche
• Chiffrement de l’URL permettant la visualisation des documents au sein de l’espace de stockage Microsoft Azure et ajout d’une limitation à une heure de la validité de l’URL.

La présidente de la CNIL a pris la décision de faire également réaliser un contrôle au sein des locaux de la société le 12 juillet, qui a révélé des manquements supplémentaires.

Des négligences graves dans la politique de gestion des mots de passe

Lors du contrôle sur place, la délégation de la CNIL a constaté que le Site présentait d’autres défauts de sécurité importants, relatifs à la gestion des mots de passe.

Il est en effet apparu que lors de la création d’un compte utilisateur, la société imposait au client le mot de passe permettant de se connecter par la suite, et choisissait pour ce faire sa date de naissance (dans un format de type JJMMAAAA rappelé directement sur le formulaire de connexion). Plus grave encore, il était impossible pour les clients de modifier leur mot de passe ultérieurement. La délégation a également constaté qu’aucun dispositif visant à limiter le nombre de tentatives de connexion erronées n’était en place, ce qui représente un risque d’autant plus considérable que les mots de passe étaient prédictibles.

Il est enfin apparu que la procédure de gestion des demandes relatives à un mot de passe oublié prévoyait simplement le renvoi par courriel de l’identifiant et du mot de passe initial, en clair.

Une sanction instructive sur le niveau d’exigence de la CNIL sur le plan technique

Dans sa décision du 13 juin 2019, la formation restreinte écarte plusieurs fois les arguments de la société en précisant les contours d’un état des connaissances techniques qu’elle considère exister tant chez le responsable de traitement chez la personne concernée.

L’état de l’art que doit prendre en compte le responsable de traitement

Pour justifier la sanction prononcée, la formation restreinte rappelle en premier lieu à la société qu’elle a déjà prononcé plusieurs sanctions pour des cas similaires, ce qu’aucun professionnel du commerce électronique ne devrait ignorer.

Elle renvoie également, en particulier pour les questions d’authentification, vers les bonnes pratiques dégagées dans les guides de l’Open Web Application Security Project (OWASP), déjà cités par la CNIL sur sa page « Préparer son développement en toute sécurité »[5], publiée en mai dernier.

Concernant enfin les mots de passe, elle cite les préconisations de la CNIL et celles de l’ANSSI.

La formation restreinte affirme ainsi le caractère incontournable de ces éléments dans la mise en œuvre du principe de « privacy by design » qui doit guider tout projet de traitement de données à caractère personnel, d’autant plus que l’historique des clients en matière d’assurance automobile figurait parfois parmi les documents accessibles, ce qui aurait pu permettre de « savoir ainsi si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite ou un refus d’obtempérer », or, de telles données relatives à des infractions commises par les personnes doivent bénéficient, en vertu de l’article 83 du RGPD, d’une protection renforcée totalement absente en l’espèce.

Des éléments sur les compétences techniques des utilisateurs

Cette décision fournit également des repères utiles sur le niveau de connaissance technique que les responsables de traitement doivent considérer comme celui de l’utilisateur moyen.

• La capacité de modifier une adresse URL dans son navigateur

Pour sa défense, la société soutient en effet que « l’identification du défaut de sécurité de son site web nécessitait des compétences techniques informatiques particulières, ce dont disposait le plaignant qui a effectué le signalement à la CNIL, du fait de sa profession. Elle considère qu’une personne physique non instruite dans le domaine du développement informatique n’aurait pu identifier ce défaut de sécurité et que les constatations du plaignant sont l’œuvre d’un spécialiste et qu’elles ne sont pas représentatives de l’activité sur Internet d’une personne physique non initiée ».

La formation restreinte rejette cet argument, affirmant que « la simple modification du numéro apparaissant dans l’adresse URL est à la portée de tout utilisateur d’un navigateur dès lors que cette adresse apparaît dans le navigateur de tout client de la société se connectant à son compte ».

• Le recours à des mots de passe robustes

La société indiquait également avoir choisi volontairement des mots de passe simples pour « qu’ils puissent aisément accéder à leur dossier personnel et communiquer dans des conditions conviviales et pratiques avec leur courtier », souhaitant également « faciliter les démarches des assurés, certains ayant des difficultés à lire et à écrire ».

Cet argument n’est pas davantage retenu par la formation restreinte, qui relève simplement qu’il appartient au responsable de traitement de « mettre en œuvre des mesures de sécurité destinées à assurer la sécurité de toutes les données à caractère personnel qu’elle traite, y compris notamment celles des populations vulnérables », jamais au détriment de celles-ci.

Autres apports de la décision

Sur l’absence de mise en demeure préalable

La société soutient que la présidente de la Commission aurait pu lui adresser une mise en demeure qui lui aurait permis de mettre en œuvre les actions correctives nécessaires à la mise en conformité du site. Sans même se prononcer sur la possibilité réelle de mettre fin aussi tardivement à des manquements aux règles de sécurité qui existaient depuis quatre ans au moment des contrôles, la formation restreinte, dans les mêmes termes que dans sa décision concernant la société SERGIC, rappelle simplement que la loi confère à la présidente de la CNIL le pouvoir de déterminer « en fonction des circonstances de l’espèce » l’opportunité de prononcer une mise en demeure ou saisir la formation restreinte, sans avoir à justifier davantage ce choix.

Sur le montant de l’amende

Le rapporteur demandait initialement qu’une amende de 375 000 euros soit prononcée à l’encontre de la société. Celle-ci estime disproportionné ce montant, équivalent à 3,5% de son chiffre d’affaires, notamment au regard de sa coopération dès ses premiers contacts avec la CNIL.

Pour justifier que soit prononcée une amende, la formation rappelle les éléments suivants :

• la société a attendu d’être alertée par les services de la CNIL pour prendre en compte l’importance de sécuriser les données personnelles présentes dans ses systèmes d’information
  
• les données concernées étaient particulièrement identifiantes et parfois relatives à des infractions
  
• les données portaient sur plusieurs dizaines de milliers de clients, ayant pour certains résilié leur contrat avec la société
  
• le Site a visiblement été géré de la même façon depuis sa mise en ligne en 2014

Au regard de la coopération, réelle bien que tardive, de la société et du fait qu’aucun dommage concernant les clients concernés n’a été porté à la connaissance de la CNIL, la formation restreinte a toutefois accepté de réduire à 180 000 euros le montant de l’amende prononcée contre la société Active Assurances, et de publier sa décision.

Je partage