Amende sévère pour un assureur qui a négligé les données clients pendant des années

La compagnie d’assurance suédoise Trygg-Hansa a été sanctionnée par une amende GDPR de près de trois millions d’euros (35 millions de couronnes).

Après avoir découvert que l’assureur Trygg-Hansa avait négligé les données de ses clients pendant des années, la société a été condamnée à une forte amende par l’Autorité suédoise de protection de la vie privée pour cette violation du règlement GDPR. L’IMY a demandé à Trygg-Hansa de payer 35 millions de couronnes suédoises, soit environ trois millions d’euros.

Simple comme bonjour

Les choses commancaient à bouver quand un client de la filiale Moderna Försäkringar a découvert qu’il était possible d’accéder au backend de Trygg-Hansa grâce à des liens contenus dans des offres envoyées aux clients par SMS ou par e-mail.

Chaque lien contenait une URL unique qui renvoyait à la page d’offre de la compagnie d’assurance. Le backend était simplement accessible sans authentification ; une simple modification du numéro de client suffisait. Ces numéros se sont avérés être séquentiels. Pas vraiment un piratage extraordinaire. Ainsi, c’était très simple de consulter des documents privés du compte qui se trouvait derrière chaque numéro.

Conséquences possibles

Entre octobre 2018 et février 2021, les données d’environ 650 000 clients ont donc été pratiquement non protégées pendant tout ce temps. Cette longue période a donc joué un rôle important pour l’IMY.

La liste des données potentielles disponibles à tous est très longue :

Données personnelles
Informations sur la santé
Détails sur les termes des accords
Finances
Coordonnées
Les numéros de sécurité sociale (la version suédoise)
Détails de la police d’assurance

Pour l’instant, l’IMY a pu confirmer 202 cas d’accès à certaines données par des personnes non autorisées, mais ce chiffre n’est peut-être qu’un début. En effet, les dommages potentiels sont bien plus importants : ces données sont extrêmement attrayantes pour tous les types de cybercriminalité. D’où la lourde amende infligée à Trygg-Hansa. Les personnes qui maîtrisent un peu le suédois ou qui souhaitent s’entraîner à l’avance peuvent lire la décision intégrale de l’IMY en ligne.

En juillet dernier, l’autorité suédoise de protection de la vie privée a lourdement sanctionné Tele2 pour avoir enfreint le GDPR avec Google Analytics. Mais l’amende n’était pas aussi élevée qu’aujourd’hui. Parallèlement, l’autorité belge de protection des données a fait la uneen début de semaine en rejetant près de 400 plaintes.

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.

Amende sévère pour un assureur qui a négligé les données clients pendant des années

Simple comme bonjour

Conséquences possibles

actualités liées

newsletter