En juin 2018, la CNIL a reçu un signalement d’un client d’une société de conception et distribution de contrats d’assurance mobile auprès de particulier indiquant que celui-ci avait pu accéder aux données personnelles d’autres clients à partir de son espace utilisateur.

A la suite d’un contrôle en ligne la CNIL a pu constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient notamment des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.

Après une alerte de la CNIL, la société a l’informé que des mesures avaient été prises. Un contrôle sur place a alors été réalisé dans les locaux de la société.
Néanmoins ce second contrôle a permis de constater que les mesures prises n’étaient pas suffisantes pour empêcher le référencement, que les mots de passe de connexion aux espaces personnels, dont le format était imposé par la société, correspondaient à la date de naissance des clients et qu’après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et mentionnés en clair dans le corps du message.
Sur la base des investigations menées, la formation restreinte a considéré que la société avait manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD) au motif que la société aurait dû s’assurer que chaque personne souhaitant accéder à un document était bien habilitée à le consulter, que le référencement par les moteurs de recherche aurait pu être évité à l’aide d’un fichier « robots.txt » par exemple et que la société aurait dû imposer aux utilisateurs d’utiliser des mots de passe plus robustes et ne pas les transmettre en clair par courriel.

C’est dans ces conditions qu’elle a prononcé une amende de 180 000 euros et décidé de rendre publique sa sanction. Elle a notamment tenu compte d’une part de la gravité du manquement, en raison de la nature des données et des documents en cause (pièces d’identité, informations relatives à des infractions, données bancaires etc.) et d’autre part du nombre de personnes concernées, le défaut de sécurité ayant affecté les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société.