PAR STÉPHANE CHOISEZ, AVOCAT ASSOCIÉ, ET PIERRE CRAPONNE, AVOCAT COLLABORATEUR
Quelles sont les normes et règles fondamentales à respecter en matière de protection des données lorsqu’un acteur du monde de l’assurance les rend, d’une façon ou d’une autre, accessibles sur son site internet ?
Il est rare qu’une décision de justice révèle les fondamentaux et soubassements de l’analyse d’un régulateur et son mode d’action lors des contrôles.
On savait la Cnil volontiers pédagogue dans ses décisions, mais la sanction prononcée par sa formation restreinte en date du 18 juillet 2019 (n° SAN-2019-007) et publiée au Journal officiel, condamnant la société Active assurances à payer une amende de 180 000 € pour avoir insuffisamment protégé les données des utilisateurs de son site web, dépasse largement le cadre du courtier sanctionné.
En effet, au-delà de la sanction prononcée elle-même, et de la publicité qui lui est faite pendant deux ans (date à laquelle la décision sera anonymisée), la Cnil dévoile en filigrane les normes et règles fondamentales à respecter en matière de protection des données lorsqu’un acteur du monde de l’assurance les rend, d’une façon ou d’une autre, accessibles sur son site internet.
Des faits classiques
Les faits sont classiques, s’agissant d’un courtier grossiste qui conçoit et distribue des contrats d’assurance automobile à une clientèle de particuliers, essentiellement via une vente en ligne.
Pour les besoins de son activité, la société édite le site www.activeassurances.fr sur lequel les personnes peuvent demander des devis ou souscrire des contrats d’assurance automobile en ligne.
Le 1er juin 2018, la Cnil a été informée par un unique client de la société Active assurances qu’il avait, en utilisant le site internet précité, eu accès directement aux données d’autres clients sans aucune procédure d’authentification préalable.
Quelques jours après, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avisait la Cnil que l’accès aux données à caractère personnel était possible sans contrôle, notamment depuis un moteur de recherche connu et facilement disponible sur le Net.
Une enquête a donc été diligentée par la Cnil qui, lors de sa mission de contrôle, constatera que notamment à partir de ce moteur de recherche et grâce à des mots-clés, on pouvait faire apparaître des liens hypertexte permettant d’accéder librement à certains comptes de clients.
De plus, les données étaient également accessibles en modifiant les numéros figurant à la fin d’une des adresses URL affichées dans le moteur de recherche.
On parle ici de données en nombre extrêmement important puisque la base contenait 148 359 numéros de téléphone distincts, 144 057 adresses électroniques, 144 890 copies de cartes grises, 137 776 copies de permis de conduire, 119 940 relevés d’identité bancaire, 119 517 devis ou encore 36 068 copies de déclarations de cession d’un véhicule.
Et chaque document contenait par lui-même de très nombreuses informations sur les personnes concernées tels ses nom, prénom, adresse postale, date et lieu de naissance, voir des éléments relatifs à la suspension du permis de conduire et des résiliations de garantie, toutes données dont on sait la valeur sur le Darknet pour reconstituer une identité numérique.
Quelques jours après, la Cnil informera la société du défaut de sécurité et de la violation des données en résultant, lui demandant d’y remédier de toute urgence. Active assurances réagissait immédiatement et informait la Cnil de ce que les mesures réparatrices et protectrices avaient été prises.
La Cnil effectuera alors un contrôle sur place, constatant que malgré les efforts déployés par l’entreprise les mesures prises n’étaient pas suffisantes, notant de surcroît que les mots de passe de connexion aux espaces personnels, dont le format était imposé par la société, correspondaient à la date de naissance des clients, sans compter que l’identifiant et mot de passe de connexion étaient transmis par simple courriel au client, et mentionnés en clair dans le corps du message.
Une sanction voulue comme équilibrée
Cette décision recèle plusieurs enseignements qui sont de nature à concerner chaque société intervenant dans le domaine de l’assurance et travaillant sur les données personnelles de ses clients.
Tout d’abord, la sanction prononcée est largement explicitée par la Cnil, puisque l’on sait que l’autorité de poursuite du régulateur avait proposé une amende correspondant à 3,5 % du chiffre d’affaires de la société (dont le montant est anonymisée sur la décision publiée).
On sait simplement que la somme de 180 000 € prononcée par la Cnil est inférieure aux réquisitions. L’essentiel tient plutôt à la motivation de la décision, puisque la Cnil explique, à charge ou à décharge, ce qui l’a amené à prononcer une amende.
A charge, il apparaît que la Cnil a tenu compte de la gravité du manquement en mettant en avant la nature des données et des documents accessibles (pièce d’identité, informations relatives aux coordonnées bancaires…), outre le fait que le défaut de sécurité avait potentiellement affecté plusieurs milliers de clients.
Toutefois, à décharge de la société Active assurances, la Cnil faisait valoir qu’elle avait pris en compte la réactivité de cette société dans la correction du défaut de sécurité, et sa coopération avec les services de la Cnil.
Le premier enseignement est donc évident : la coopération avec les services de la Cnil et la rapidité de la réaction des services informatiques de l’entreprise contrôlée seront des éléments de nature à limiter les risques de sanction, ou au moins à atténuer le coût de celle-ci.
L’absence de contrôle des faiblesses du système
Le fondement juridique de la décision du 18 juillet 2019 est celui de l’article 32 du règlement UE 2016/679 du Parlement européen et du conseil du 27 avril 2016, qui dispose que « compte tenu de l’état des connaissances, des coûts de mise en œuvre, et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement, le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris … la pseudonymisation et le chiffrement des données à caractère personnel…des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Au vu d’une telle contrainte, il était évident dans le cas d’espèce que le risque de sanction était élevé, puisque c’est bien l’accès aux données personnelles qui n’était pas protégé.
Si l’on reprend les termes de la Cnil, il était notamment reproché à la société Active assurances que l’accès aux données des clients soit possible à partir d’une « manipulation simple, consistant en une modification du numéro apparaissant dans l’adresse URL affichée dans le navigateur », et ce faute d’avoir pris des mesures « élémentaires de sécurité » (page 4).
La Cnil indiquait alors qu’une « telle modification ne nécessite aucune opération complexe, ni aucune maîtrise technique particulière en matière informatique » (page 4).
Plus utile, la Cnil rappelait alors que ce type de faille faisait partie des dix failles de sécurité les plus à surveiller selon le guide 2017 des bonnes pratiques de l’Open Web Application Security Project, l’association professionnelle de référence en termes de sécurité des sociétés du Web.
Second enseignement de cette décision : chaque société ou professionnel utilisant un site web susceptible de recueillir des données personnelles doit, au sens de l’analyse qu’en fait la Cnil, tester ces dix failles et vérifier la conformité du site web et sa résistance à ces risques.
Le privacy by design
Apport majeur du RGPD, le privacy by design impose que, dès la conception du système de traitement des données, celui-ci soit conçu pour permettre le respect des règles de sécurité.
En l’espèce, le site web, datant de quelques années, n’était pas conforme avec l’approche qui est imposée par le RGPD, ce qui explique que la Cnil ait reproché à la société Active assurances de ne pas avoir « placé la sécurité des données de ses clients au cœur de ses préoccupations » ou plus exactement de ne l’avoir fait qu’après le contrôle (page 4).
La Cnil insistera d’ailleurs sur le fait que les données concernées, et qui se comptaient par dizaines de milliers, faisaient partie des « données particulières qui doivent faire l’objet de la part des responsables du traitement d’une vigilance et d’une protection renforcées » (page 5), ce qui n’avait pas été le cas en l’espèce.
Troisième enseignement d’importance : la nécessité de tester le respect par le site web déjà existant des règles issues du privacy by design, le site web eut-il été construit plusieurs années avant l’entrée en vigueur du RGPD.
Les codes et mots de passe
Dernier enseignement, la Cnil constatera que lors du contrôle de visite post-notification, et lorsque les clients devaient se connecter à leurs espaces personnels, il suffisait d’insérer « leur numéro client et leur date de naissance », cette seconde information valant mot de passe. De même, il n’existait aucun système complémentaire limitant le nombre de tentatives en cas de mot de passe erroné.
Le problème de la qualité du mot de passe, qui n’est absolument pas spécifique à l’assurance, amène la Cnil à rappeler alors que « lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, le mot de passe doit comporter au minimum 12 caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou le mot de passe doit comporter au minimum 8 caractères – contenant 3 de ces 4 catégories de caractères – et être accompagné d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (« Captcha ») et/ou le blocage du compte après plusieurs tentatives d’authentifications infructueuses » (page 5).
Faisant sienne l’approche de l’ANSSI, la Cnil rappelle « qu’un bon mot de passe est avant tout un mot de passe fort », c’est-à-dire un mot de passe cumulant majuscule, minuscule, chiffre et caractères spéciaux.
Ici encore, le fait que le mot de passe ait été d’une grande simplicité et facilement accessible, sans compter qu’il était envoyé au client par simple mail non crypté, faisait que ces mots de passe communiqués au client ne correspondaient pas aux exigences requises en termes de robustesse, ce qui ne pouvait que contribuer à la sanction.
Rappelons, pour mémoire, que le top 10 des pires mots de passe de 2018 comprend les grands classiques comme « 1234 » ou « 4321 », voir les habituels « password », « sunshine » ou « superman » que tous les hackers connaissent par cœur.
Le dernier enseignement est donc de simple bon sens : rien ne sert de sécuriser l’accès aux données si les mots de passe et codes sont faibles et aisément disponibles.
Dans un domaine aussi friand de données que celui de l’assurance, la décision du 18 juillet 2019 apparaît donc comme un message, à peine voilé, adressé à tous les acteurs qu’ils soient courtiers, agent généraux, mutuelles, institutions de prévoyance ou assureurs.
À lire aussi : l’édition en ligne