La compagnie d’assurance suédoise Trygg-Hansa a été sanctionnée par une amende GDPR de près de trois millions d’euros (35 millions de couronnes).
Après avoir découvert que l’assureur Trygg-Hansa avait négligé les données de ses clients pendant des années, la société a été condamnée à une forte amende par l’Autorité suédoise de protection de la vie privée pour cette violation du règlement GDPR. L’IMY a demandé à Trygg-Hansa de payer 35 millions de couronnes suédoises, soit environ trois millions d’euros.
Simple comme bonjour
Les choses commancaient à bouver quand un client de la filiale Moderna Försäkringar a découvert qu’il était possible d’accéder au backend de Trygg-Hansa grâce à des liens contenus dans des offres envoyées aux clients par SMS ou par e-mail.
Chaque lien contenait une URL unique qui renvoyait à la page d’offre de la compagnie d’assurance. Le backend était simplement accessible sans authentification ; une simple modification du numéro de client suffisait. Ces numéros se sont avérés être séquentiels. Pas vraiment un piratage extraordinaire. Ainsi, c’était très simple de consulter des documents privés du compte qui se trouvait derrière chaque numéro.
Conséquences possibles
Entre octobre 2018 et février 2021, les données d’environ 650 000 clients ont donc été pratiquement non protégées pendant tout ce temps. Cette longue période a donc joué un rôle important pour l’IMY.
La liste des données potentielles disponibles à tous est très longue :
- Données personnelles
- Informations sur la santé
- Détails sur les termes des accords
- Finances
- Coordonnées
- Les numéros de sécurité sociale (la version suédoise)
- Détails de la police d’assurance
Pour l’instant, l’IMY a pu confirmer 202 cas d’accès à certaines données par des personnes non autorisées, mais ce chiffre n’est peut-être qu’un début. En effet, les dommages potentiels sont bien plus importants : ces données sont extrêmement attrayantes pour tous les types de cybercriminalité. D’où la lourde amende infligée à Trygg-Hansa. Les personnes qui maîtrisent un peu le suédois ou qui souhaitent s’entraîner à l’avance peuvent lire la décision intégrale de l’IMY en ligne.
En juillet dernier, l’autorité suédoise de protection de la vie privée a lourdement sanctionné Tele2 pour avoir enfreint le GDPR avec Google Analytics. Mais l’amende n’était pas aussi élevée qu’aujourd’hui. Parallèlement, l’autorité belge de protection des données a fait la uneen début de semaine en rejetant près de 400 plaintes.