En continu
Accueil / NewZilla.NET / Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

PARTAGER CET ARTICLE
Des données personnelles des utilisateurs du site OUICAR.FR sont restées librement accessibles pendant près de trois ans. La formation restreinte de la CNIL a prononcé un avertissement public, estimant que OUICAR avait manqué à son obligation de sécurité et de confidentialité des données.

 

En juillet 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’une violation de données à caractère personnel à partir du site www.ouicar.fr, une plateforme de location de véhicules entre particuliers

La CNIL a alors réalisé en juillet et août 2016 deux missions de contrôle : la première en ligne et la seconde dans les locaux de la société. Elle a constaté que les données de l’ensemble des utilisateurs du site étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API).

La CNIL a ainsi constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site, c’est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location, en modifiant simplement dans l’URL la variable correspondant à l’identifiant de chaque utilisateur. Cette violation de données concernait plusieurs centaines de milliers de personnes.

CNIL-Hertz

Prévenue à l’issue du premier contrôle de la CNIL, la société a immédiatement pris les mesures mettant fin à la violation de données.

Les investigations réalisées sur place ont ensuite permis de déterminer que cet incident avait duré près de trois ans et était lié à un défaut élémentaire de sécurité. La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. Cela aurait permis d’empêcher que tout internaute puisse y avoir accès.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction.

La formation restreinte de la CNIL a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société. Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire.

A lire aussi sur NewZilla.NET

RGPD / La CNIL va éditer un guide d’accompagnement pour les PME

Cet ouvrage sera co-édité avec la Banque publique d'investissement (BPI). Il devrait s’adresser en priorité aux PME, qui ne dispose pas d’une service juridique et/ou qui n’ont pas les moyens de se payer les services d’un consultant “spécialisé”, pour comprendre les enjeux de la nouvelle réglementation européenne sur la protection des données personnelles qui s’appliquera à partir du 25 mai 2018.

Pas d’inscription à un réseau social en dessous de 15 ans pour les mineurs non accompagnés

Dans le cadre de l’examen du projet de loi sur les données personnelles, les députés ont adopté mercredi 7 février, en première lecture, de nouvelles règles encadrant les conditions d’inscription des mineurs sur les réseaux sociaux, et par voie de conséquence, la collecte de leurs données personnelles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.