Le procureur général James obtient 975 000 dollars de la part d'une compagnie d'assurance automobile à la suite d'une violation de données

NEW YORK - Letitia James, procureur général de l'État de New York, a obtenu aujourd'hui 975 000 dollars de pénalités de la part de Root, une compagnie d'assurance automobile, pour ne pas avoir protégé les informations personnelles d'environ 45 000 New-Yorkais. Cette violation de données s'inscrit dans le cadre d'une campagne menée à l'échelle du secteur pour voler les informations personnelles des consommateurs, notamment les numéros de permis de conduire et les dates de naissance, à partir des demandes de devis d'assurance automobile en ligne. Les voleurs de données ont ensuite utilisé certaines des informations de permis de conduire volées pour déposer des demandes de chômage frauduleuses au plus fort de la pandémie de COVID-19. Root ne propose pas d'assurance à New York, mais les failles de sécurité de l'entreprise ont permis à des escrocs d'accéder aux numéros de permis de conduire et aux informations personnelles des New-Yorkais. Le procureur général James a récemment obtenu 5,1 millions de dollars de GEICO et Travelers, ainsi que  500 000 dollars de Noblr, pour ne pas avoir protégé les données des New-Yorkais. L'accord conclu aujourd'hui porte à 6,57 millions de dollars le montant total obtenu des compagnies d'assurance automobile pour leur incapacité à protéger les données des New-Yorkais.

"Lorsque les entreprises ont de mauvaises pratiques en matière de sécurité des données, elles exposent les individus au risque d'usurpation d'identité et à d'autres formes de fraude", a déclaré le procureur général James. "Les compagnies d'assurance automobile doivent s'assurer que les systèmes qu'elles utilisent pour stocker les données des personnes sont protégés afin d'empêcher les cybercriminels de voler les numéros de permis de conduire, les numéros de sécurité sociale et d'autres informations privées. L'accord conclu aujourd'hui devrait faire comprendre aux compagnies d'assurance automobile que mon bureau prendra des mesures pour protéger les informations privées des New-Yorkais". 

Root est une compagnie d'assurance qui permet aux consommateurs d'obtenir un devis sur son site web. Après la saisie d'un nombre limité d'informations personnelles, l'outil de devis en ligne "pré-remplit" des informations personnelles telles que les numéros de permis de conduire. Le système de Root exposait les numéros de permis de conduire en clair dans un PDF généré à la fin du processus de devis automobile.  

En janvier 2021, Root a découvert que des acteurs malveillants exploitaient la vulnérabilité du préremplissage. L'Office of Attorney General (OAG) a constaté que Root n'avait pas procédé à une évaluation adéquate des risques liés à ses applications web publiques, qu'il n'avait pas identifié l'exposition en texte clair des informations personnelles des consommateurs et qu'il n'avait pas mis en place des contrôles suffisants pour contrecarrer les attaques automatisées. Environ 45 000 New-Yorkais ont été touchés par l'attaque de Root.  

L'enquête du BVG a permis de déterminer que la compagnie d'assurance n'avait pas adopté de mesures de protection raisonnables pour protéger les informations privées. Outre le paiement de 975 000 dollars de pénalités, Root est tenu d'améliorer la sécurité de ses données, notamment en prenant les mesures suivantes

• Maintenir un programme complet de sécurité de l'information conçu pour protéger la sécurité, la confidentialité et l'intégrité des informations privées ;
• Élaborer et tenir à jour un inventaire des données privées et veiller à ce que ces informations soient protégées par des mesures de sauvegarde raisonnables ;
• maintenir des procédures d'authentification raisonnables pour l'accès aux informations privées ; et
• Maintenir un système d'enregistrement et de surveillance ainsi que des politiques et procédures raisonnables conçues pour configurer correctement le système afin d'alerter en cas d'activité suspecte.  

Le procureur général James est un chef de file pour ce qui est de tenir les entreprises responsables de leurs faiblesses en matière de cybersécurité. En mars 2025, le procureur général James a poursuivi Allstate Insurance pour ne pas avoir protégé les informations des New-Yorkais, ce qui a entraîné la divulgation des données de plus de 165 000 d'entre eux. En décembre 2024, le procureur général James a annoncé un  règlement de 500 000 dollars avec l'assurance automobile Noblr pour sécurité insuffisante des données. En novembre 2024, le procureur général James et la surintendante du département des services financiers Adrienne Harris ont obtenu 11,3 millions de dollars de GEICO et de Travelers pour avoir négligé la sécurité des données. En octobre 2024, le procureur général James a obtenu 2,25 millions de dollars d'un prestataire de soins de santé de la région de la capitale pour ne pas avoir protégé les informations privées et les données médicales des New-Yorkais. En août 2024, le procureur général James et une coalition de plusieurs États ont obtenu 4,5 millions de dollars de la part d'une société de biotechnologie qui n'avait pas protégé les données des patients. En juillet 2024, le procureur général James a publié deux guides sur la protection de la vie privée, le Business Guide to Website Privacy Controls et le Consumer Guide to Tracking on the Web, afin d'aider les entreprises et les consommateurs à se protéger. En avril 2023, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. 

Cette affaire a été menée par les procureurs généraux adjoints Gena Feist et Laura Mumm, ainsi que par les anciens procureurs généraux adjoints Hanna Baek et Ezra Sternstein, l'analyste de la sécurité des données Nishaant Goswamy et l'ancien analyste de l'Internet et de la technologie Joe Graham, sous la supervision du chef de bureau adjoint Clark Russell et du chef de bureau Kim Berger du bureau de l'Internet et de la technologie. L'analyse des données a été réalisée par Casey Marescot, analyste de données, et Blythe Davis, scientifique de données, sous la supervision de Gautam Sisodia, directeur adjoint, Victoria Khan, ancienne directrice adjointe, Megan Thorsfeldt, et ancien directeur, Jonathan Werberg, du département de recherche et d'analyse. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le premier vice-procureur général Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.