Le Règlement Général sur la Protection des Données (RGPD) est un texte de loi européen entré en vigueur en mai 2018. Il vise à renforcer et harmoniser la protection des données personnelles au sein de l’Union Européenne. Les entreprises doivent se conformer à cette législation sous peine de sanctions financières importantes, comme le montre le cas récent de la société française Active Assurances.
Retour sur les faits : manquements constatés par la CNIL chez Active Assurances
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité nationale en charge du respect de la protection des données personnelles en France. Elle a sanctionné la société d’assurance automobile Active Assurances d’une amende de 180 000 euros en raison de plusieurs manquements au RGPD constatés lors d’un contrôle effectué en 2019.
Manque de sécurité des données clients
Le principal reproche fait à Active Assurances concerne la sécurité insuffisante des données de ses clients. La CNIL a découvert que les identifiants et mots de passe des clients étaient conservés sans chiffrement dans la base de données de l’entreprise, ce qui rendait possible leur consultation par n’importe quel utilisateur disposant de l’accès aux systèmes informatiques de la société.
Conservation excessive des données
Par ailleurs, la CNIL a relevé que les données de certains clients étaient conservées dans la base de données alors que leur contrat d’assurance avait été résilié depuis plusieurs années. La règle en vigueur stipule qu’une entreprise doit supprimer les données d’un client lorsqu’elle n’en a plus l’utilité légale ou contractuelle.
Le coût de la négligence : une amende conséquente
L’amende de 180 000 euros infligée à Active Assurances est l’une des plus importantes jamais prononcées par la CNIL pour des manquements au RGPD. Cette sanction financière s’explique par la gravité des faits reprochés et par le nombre important de clients concernés (plusieurs dizaines de milliers).
Les critères d’évaluation de la CNIL pour fixer le montant de l’amende
Pour déterminer le montant de l’amende, la CNIL prend en compte plusieurs critères, tels que :
- La nature, la gravité et la durée du manquement
- Le caractère intentionnel ou de négligence des infractions
- Les mesures prises pour remédier aux manquements et prévenir de nouvelles violations
- La coopération avec l’autorité de contrôle
Dans le cas d’Active Assurances, la CNIL a notamment souligné le manque de réactivité de l’entreprise face aux constatations effectuées lors du contrôle. Plusieurs mois ont été nécessaires pour apporter des mesures correctives adéquates aux problèmes de sécurité.
Les enseignements à tirer de cette affaire
La nécessité d’adopter des mesures de sécurité adaptées aux données personnelles
Le principal enseignement de l’affaire Active Assurances concerne la sécurité des données personnelles. Les entreprises doivent mettre en place des mesures adaptées pour protéger ces informations sensibles, telles que le chiffrement des identifiants et mots de passe, ou encore la mise en oeuvre de systèmes de détection et réponse aux incidents de sécurité.
L’importance de respecter les principes du RGPD
Les manquements constatés chez Active Assurances illustrent également l’importance pour les entreprises de se conformer au :
- Principe de minimisation des données : ne collecter et conserver que les données strictement nécessaires au fonctionnement de leurs services
- Respect du droit à l’effacement : supprimer les données d’un client lorsqu’elle n’en a plus l’utilité légale ou contractuelle
Le coût potentiel des sanctions financières pour non-respect du RGPD
Enfin, cette affaire rappelle aux entreprises qu’elles s’exposent à de lourdes sanctions financières en cas de non-respect du RGPD. La CNIL impose des amendes pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise. Il est donc essentiel pour elles de prendre toutes les mesures nécessaires pour assurer la conformité de leurs traitements de données afin d’éviter de telles sanctions.