En continu
Accueil / NewZilla.NET / HERTZ France condamné à 40 000 euros d’amende pour violation de données personnelles (Communiqué)

HERTZ France condamné à 40 000 euros d’amende pour violation de données personnelles (Communiqué)

PARTAGER CET ARTICLE
Une violation de données personnelles s’est produite en 2016 sur un site de la société Hertz en raison d’une erreur commise par un prestataire. La formation restreinte de la CNIL a prononcé une sanction d’un montant de 40.000 euros, estimant que la société avait manqué à son obligation de sécurité des données.

 

En octobre 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’un incident de sécurité ayant entrainé une violation de données personnelles sur le site « www.cartereduction-hertz.com ». Lors d’un contrôle en ligne elle a constaté que les mesures garantissant la sécurité et la confidentialité des données des adhérents au programme de réduction de la société étaient insuffisantes.

En effet, les agents de la CNIL ont pu accéder librement, à partir d’une adresse URL, aux données personnelles renseignées par 35 357 personnes inscrites sur le site « www.cartereduction-hertz.com » (identité, coordonnées, numéro de permis de conduire).

Prévenue le jour même par la CNIL, la société a alerté son sous-traitant en charge du développement du site, qui a immédiatement pris les mesures nécessaires permettant de mettre fin à la violation de données.

CNIL-Hertz

Au cours d’investigations complémentaires réalisées dans les locaux de la société et chez son sous-traitant, la CNIL a appris que la violation de données était la conséquence d’une erreur commise par le prestataire lors d’une opération de changement de serveur. La suppression accidentelle d’une ligne de code avait entrainé le réaffichage des formulaires remplis par les adhérents au programme de réduction.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société Hertz France.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 40.000 euros, estimant que la société avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission.

C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas.

A lire aussi sur NewZilla.NET

RGPD / La CNIL va éditer un guide d’accompagnement pour les PME

Cet ouvrage sera co-édité avec la Banque publique d'investissement (BPI). Il devrait s’adresser en priorité aux PME, qui ne dispose pas d’une service juridique et/ou qui n’ont pas les moyens de se payer les services d’un consultant “spécialisé”, pour comprendre les enjeux de la nouvelle réglementation européenne sur la protection des données personnelles qui s’appliquera à partir du 25 mai 2018.

Pas d’inscription à un réseau social en dessous de 15 ans pour les mineurs non accompagnés

Dans le cadre de l’examen du projet de loi sur les données personnelles, les députés ont adopté mercredi 7 février, en première lecture, de nouvelles règles encadrant les conditions d’inscription des mineurs sur les réseaux sociaux, et par voie de conséquence, la collecte de leurs données personnelles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.