Nel giugno 2018, il CNIL ha ricevuto un rapporto da un cliente dell’azienda che indicava che, dal suo account, era stato in grado di accedere ai dati personali di altri clienti.
Un controllo online ha rivelato che gli account dei clienti dell’azienda erano accessibili tramite collegamenti ipertestuali referenziati su un motore di ricerca. I documenti e i dati dei clienti erano accessibili anche modificando i numeri alla fine degli URL visualizzati nel browser. Questi documenti includevano copie di patenti di guida, carte di registrazione, documenti di identità bancari e documenti per determinare se una persona fosse stata oggetto di un ritiro della patente o di un incidente.
Sulla base delle indagini condotte, la CNIL ha ritenuto che la società avesse violato l’obbligo di garantire i dati personali previsto dall’articolo 32 del GDPR, di conseguenza ha imposto una multa di 180.000 euro. In particolare, ha tenuto conto della gravità della violazione, a causa della natura dei dati e dei documenti in questione. Ha inoltre tenuto conto del numero di persone interessate, in quanto la mancanza di sicurezza ha influito sui conti di diverse migliaia di clienti e persone che avevano risolto il contratto con la società. La CNIL, tuttavia, ha tenuto conto della capacità di risposta dell’azienda nella correzione della mancanza di sicurezza e della sua cooperazione con i servizi della CNIL.