La Commission nationale de l'informatique et des libertés a prononcé coup sur coup deux sanctions, respectivement contre OuiCar et Hertz, des services de location de voiture. La première a écopé d'un simple avertissement contrairement à la seconde, qui devra payer 40 000 euros d'amende pour manquement à son « obligation de sécurité des données ».

La Commission nationale de l’informatique et des libertés (Cnil) hausse le ton contre les services de location de voiture qui manquent à leurs obligations de protection de la vie privée. L’autorité française chargée de veiller sur les droits numériques des citoyens vient en effet de sanctionner coup sur coup deux entreprises du secteur, fustigeant le manque de sécurité autour des données personnelles de leurs clients.

Comme annoncé ce jeudi 27 juillet, Hertz devra payer 40 000 euros d’amende à la Cnil, qui lui reproche d’avoir « manqué à son obligation de sécurité des données ». En cause : l’accès possible, via une URL du site Hertz, aux données personnelles de 35 357 personnes inscrites sur un site de l’entreprise (carte-reduction-hertz.com). À cause d’une « erreur commise par un prestataire » lors d’un changement de serveur, les nom et prénom, coordonnées et numéros de permis de conduire de ces utilisateurs étaient accessibles à tous.

Prévenu dès octobre, le sous-traitant a immédiatement corrigé cette faille, comme l’indique la Cnil, qui précise avoir tenu compte, au moment de fixer le montant de la sanction, de « la réactivité de la société dans la résolution de la violation de données ». C’est la première fois qu’une sanction financière est prononcée, grâce à l’entrée en vigueur de la loi pour une République numérique, qui permet désormais une telle amende pour une « violation de données ».

Chez OuiCar, des données accessibles depuis 3 ans

La veille, la Cnil avait envoyé un avertissement à l’encontre de OuiCar, le service de location de voiture entre particuliers, pour avoir « manqué à son obligation de sécurité et de confidentialité des données ».

L’autorité administrative reproche en effet à Ouicar d’avoir laissé les données personnelles de ses utilisateurs en libre accès pendant trois ans. Informée à l’été 2016 d’une telle faille de sécurité, la Cnil a depuis constaté par elle-même que ces informations sensibles — nom et prénom, adresse, numéro de téléphone et de permis de conduire, localisation du véhicule loué… — étaient accessibles par simple saisie de deux URL « correspondant à des […] API ».

Si OuiCar a vite réagi pour mettre fin à cette violation manifeste de données, la Cnil a tenu à lui envoyer cet avertissement, d’autant que la situation durait depuis 3 ans. En cas de récidive, une sanction financière est là aussi possible, alors qu’elle ne l’était pas pour ce cas précis, survenu avant l’entrée en vigueur de la loi pour une République numérique.

Partager sur les réseaux sociaux