Confidentialité : Amende de 180 000€ pour fuite de données

En juin 2018, le Protocole ZATAZ alertait la Commission Informatique et des Libertés d’un problème de confidentialité concernant les clients de l’assureur Active Assurances. Un an plus tard, la CNIL sanctionne l’entreprise à auteur de 180 000 euros d’amende pour atteinte à la sécurité des données des clients.

Confidentialité des données – Jeudi 25 juillet 2019, la Commission Informatique et des Libertés communiquait sur une nouvelle amende infligée à une entreprise française pour atteinte à la sécurité des données des clients. La formation restreinte de la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES pour avoir insuffisamment protégé les données des utilisateurs de son site web. Un an plus tard, ZATAZ va vous expliquer une faille et une fuite qui aurait pu être évitée.

Juin 2018, un lecteur de ZATAZ m’informe d’un problème sérieux sur le site de son assureur. L’internaute souhaite passer par le Protocole ZATAZ afin que soit résolu ce problème. Il a déjà tenté de joindre la société par téléphone : « Trois fois pour expliquer le problème, mais il n’était pas très inquiet! »

Un courriel  envoyé à l’entreprise restera sans réponse. Dans ce cas là, et comme pour les (+) 70 000 entreprises aidées bénévolement par le Protocole ZATAZ, une alerte est envoyée à la Commission Informatique et des Libertés. La Grand Dame a des moyens légaux qui font tendre les deux oreilles aux entreprises un peu trop sourdes aux alertes.

Confidentialité, veille et audit !

Un an après le protocole ZATAZ, la CNIL sanctionne (comme elle a pu le faire pour une dizaine d’autres alertes ZATAZ : Alain Juppe, professionnel du logement,  Optical Center, Darty, Grand Frais, Hertz …). Une « punition » évitable. Comment ? Répondre à notre alerte, au courriel et appels de son client… et avoir une veille.

Bilan, elle aurait découvert que via plusieurs moteurs de recherche, des documents clients apparaissaient. Des liens vers l’espace client se retrouvaient dans Google, Qwant et Duck Duck Go, des moteurs de recherche. Des adresses web dirigeant vers le back office de chaque utilisateur (ancien et présent) avec les informations sensibles et très personnelles pour chacun.

Sans aucune demande d’identification, et en modifiant les urls (modification du chiffre du contrat), il était possible à un malveillant de ponctionner les informations personnelles. Elles auraient pu finir dans le black market.

Deux fuites, la première via le back office sur le site officiel, et la seconde, via windows.net. Le cloud de Microsoft qui permet de stocker cartes nationales d’identité, permis de conduire, rib, cartes crise … des clients.

La formation restreinte de la CNIL a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL.

Quelques semaines plus tard, la CNIL recevait une autre fuite concernant un assureur. Moins grave, elle concernait plus de 700 000 courriels à destination des clients Groupama.