La commission nationale de l’informatique et des libertés vient de taper sur les doigts de la société Allocab, spécialisée dans les VTC. Une amende avant tout symbolique pour avertir ceux et celles qui violent la loi « Informatique et Libertés ».

C’est une punition légère mais qui a valeur d’avertissement pour toutes les sociétés qui prennent à la légère les obligations de la loi « Informatique et Libertés » : ce mardi 25 avril, la commission nationale de l’informatique et des libertés vient d’infliger une amende à Allocab pour « plusieurs manquements » qui n’ont pas été résolus malgré un délai de trois mois fixé par la Cnil.

C’est à travers une plainte d’un client que la commission a pu constater les insuffisances de cette société officiant dans le créneau des voitures de tourisme avec chauffeur (VTC) en matière de respect de la législation. En effet, un contrôle effectué dans les locaux d’Allocab a révélé plusieurs défaillances, au point de conduire la Cnil à adresser une mise en demeure pour qu’elle corrige le tir.

allocab

Allocab avait quatre chantiers devant elle: fixer une durée de conservation des infos étant stockées ; limiter la conservation des cryptogrammes des cartes bancaires à la seule réalisation de la transaction, pas au-delà ; purger les données des clients ayant supprimé leur compte ; et prendre les mesures adéquates pour assurer la sécurité et la confidentialité des données personnelles.

Il faut dire que le descriptif fait par la commission nationale de l’informatique et des libertés a de quoi laisser bouche bée : on apprend ainsi qu’il était possible de créer un mot de passe d’un seul caractère, là où les plateformes dans leur grande majorité en imposent au moins six, ou que le mot de passe était envoyé en clair dans un courrier, sans aucune espèce de protection.

Allocab a tardé à répondre aux demandes de la Cnil

La mise en demeure est survenue le 10 novembre 2015, avec un courrier de la présidente de la Cnil. Mais, constate l’institution, Allocab « a tardé à répondre à nos demandes ». Un échange de courriers a alors lieu et l’entreprise de VTC déclare « avoir entrepris diverses actions afin de se conformer à la mise en demeure ». Sauf que patatras, un second contrôle a montré que tout n’était pas résolu.

Pour la Cnil, il n’en fallait pas davantage pour enclencher une procédure de sanction contre la société de VTC, d’autant que « les manquements […] ont persisté au-delà de l’échéance du délai de mise en conformité ». Or, il ne sert à rien de tracer une ligne rouge et de mettre en garde sur d’éventuelles répercussions si les menaces ne sont pas mises à exécution en cas de franchissement.

L’amende aurait pu être plus élevée

Mais la Cnil s’est montrée conciliante : elle dit avoir pris en compte, quel hasard, « de la cessation des manquements au jour de la séance de la formation restreinte », ce qui a débouché sur une amende de 15 000 euros. En revanche, les « dysfonctionnements techniques » mis en avant par Allocab pour justifier le « maintien des manquements malgré ses engagements » n’ont pas convaincu la commission.

Pour les commissaires de l’autorité indépendante, ce verdict vise moins à punir Allocab qu’à adresser un message aux responsables de traitement. Il s’agit, déclare la Cnil, de les « sensibiliser […] quant à leurs obligations « Informatique et Libertés », en particulier la nécessité d’adopter des mesures effectives en cas de mise en demeure ». Car en effet, ses pouvoirs de sanction sont bien plus élevés.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !