La Commission nationale de l’informatique et des libertés (Cnil) hausse le ton contre les services de location de voiture qui manquent à leurs obligations de protection de la vie privée. L’autorité française chargée de veiller sur les droits numériques des citoyens vient en effet de sanctionner coup sur coup deux entreprises du secteur, fustigeant le manque de sécurité autour des données personnelles de leurs clients.
Comme annoncé ce jeudi 27 juillet, Hertz devra payer 40 000 euros d’amende à la Cnil, qui lui reproche d’avoir « manqué à son obligation de sécurité des données ». En cause : l’accès possible, via une URL du site Hertz, aux données personnelles de 35 357 personnes inscrites sur un site de l’entreprise (carte-reduction-hertz.com). À cause d’une « erreur commise par un prestataire » lors d’un changement de serveur, les nom et prénom, coordonnées et numéros de permis de conduire de ces utilisateurs étaient accessibles à tous.
Prévenu dès octobre, le sous-traitant a immédiatement corrigé cette faille, comme l’indique la Cnil, qui précise avoir tenu compte, au moment de fixer le montant de la sanction, de « la réactivité de la société dans la résolution de la violation de données ». C’est la première fois qu’une sanction financière est prononcée, grâce à l’entrée en vigueur de la loi pour une République numérique, qui permet désormais une telle amende pour une « violation de données ».
Chez OuiCar, des données accessibles depuis 3 ans
La veille, la Cnil avait envoyé un avertissement à l’encontre de OuiCar, le service de location de voiture entre particuliers, pour avoir « manqué à son obligation de sécurité et de confidentialité des données ».
L’autorité administrative reproche en effet à Ouicar d’avoir laissé les données personnelles de ses utilisateurs en libre accès pendant trois ans. Informée à l’été 2016 d’une telle faille de sécurité, la Cnil a depuis constaté par elle-même que ces informations sensibles — nom et prénom, adresse, numéro de téléphone et de permis de conduire, localisation du véhicule loué… — étaient accessibles par simple saisie de deux URL « correspondant à des […] API ».
Si OuiCar a vite réagi pour mettre fin à cette violation manifeste de données, la Cnil a tenu à lui envoyer cet avertissement, d’autant que la situation durait depuis 3 ans. En cas de récidive, une sanction financière est là aussi possible, alors qu’elle ne l’était pas pour ce cas précis, survenu avant l’entrée en vigueur de la loi pour une République numérique.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
