Menu
Vous êtes ici : Accueil > Actualités > Actualités > Dernières sanctions de la CNIL en matière de RGPD : "La rigolade, c'est terminée"

Dernières sanctions de la CNIL en matière de RGPD : "La rigolade, c'est terminée"

Le 26 août 2019
Dernières sanctions de la CNIL en matière de RGPD :

Groupe Sergic : 400 000 €

Active Assurance : 180 000 €

« [Je vous ] informe symboliquement que tous les mous du slibard qui avaient l'habitude de se les rouler sous l'ancien régime vont devoir se mettre un coup de fouet s'ils veulent pas que je leur mette moi-même. [Le RGPD] symbolise la fin des haricots et la décarrade des tire-au-flanc, et surtout l'avènement de l'ordre et de la discipline. En d'autres termes, la rigolade, c'est terminé ».

Attribuée au roi Léodagan dans la série Kamelott, cette citation résume parfaitement la position de la CNIL à l’égard de l’application du RGPD entré en vigueur depuis maintenant plus d’un an. Par ses récentes sanctions rendues publiques, la CNIL semble envoyer un message fort : la mise en conformité RGPD n’est plus sujette à délais ou clémence. Tel était le cas notamment pour certains groupes de métiers particulièrement concernés du fait des données particulièrement sensibles qu’ils détiennent.

Groupe SERGIC : la sanction d’un défaut de réactivité

En mai 2019, une sanction de 400 000 euros a été prononcée à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

A l’image d’autres sociétés également condamnées par la CNIL ces dernières années, le site internet du groupe permettait à tout internaute, via une modification légère de l’URL de l’espace personnel, d’accéder à des documents enregistrés par d’autres utilisateurs dont pièces d’identité, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.           

Contrôlé début septembre 2018, la CNIL découvre que le groupe connait la faille depuis le mois de mars 2018. Ses enquêteurs ont ainsi constaté des manquements graves aux obligations légales du groupe SERGIC – défaut de mise en place de procédure d’authentification fiable, aggravé par la nature des documents accessibles et délai considérable de six mois pour sa correction, conservation sans limitation de durée des documents transmis.

Outre le montant financier de la sanction, le caractère publique de la sanction est une deuxième peine pour le groupe, sans doute plus préjudiciable encore, au regard de son image vis-à-vis de ses clients.

Active Assurance : des données sensibles accessibles

Le 18 juillet 2019, la CNIL a prononcé une sanction rendue publique d’un montant de 180 000 € contre un cabinet de courtage, Active Assurances, lui reprochant une « atteinte à la sécurité des données des clients ».

Concepteur et distributeur de contrats d’assurance automobile à des particuliers, son site web www.activeassurances.fr offre notamment l’accès à un espace personnel, qui par une légère modification de l’URL permet l’accès à d’autres comptes.

Signalé en juin 2018, la CNIL a constaté la possibilité d’accéder à divers documents tel des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.

Les mesures lacunaires proposées par Active Assurances en réponse ont imposé une sanction compte tenu de plusieurs éléments : mots de passe imposés correspondant aux dates de naissances des clients, identifiants et mots de passe transmis en clair par courriel, etc. Ce manquement à l’obligation de sécurisation des données personnelles et le nombre de données concernées, ont abouti à la sanction prononcée et sa publicité.

Cette actualité est associée aux catégories suivantes : Actualités