En continu
Accueil / NewZilla.NET / Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

Des données personnelles des utilisateurs du site OUICAR.FR sont restées librement accessibles pendant près de trois ans. La formation restreinte de la CNIL a prononcé un avertissement public, estimant que OUICAR avait manqué à son obligation de sécurité et de confidentialité des données.

 

En juillet 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’une violation de données à caractère personnel à partir du site www.ouicar.fr, une plateforme de location de véhicules entre particuliers

La CNIL a alors réalisé en juillet et août 2016 deux missions de contrôle : la première en ligne et la seconde dans les locaux de la société. Elle a constaté que les données de l’ensemble des utilisateurs du site étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API).

La CNIL a ainsi constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site, c’est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location, en modifiant simplement dans l’URL la variable correspondant à l’identifiant de chaque utilisateur. Cette violation de données concernait plusieurs centaines de milliers de personnes.

CNIL-Hertz

Prévenue à l’issue du premier contrôle de la CNIL, la société a immédiatement pris les mesures mettant fin à la violation de données.

Les investigations réalisées sur place ont ensuite permis de déterminer que cet incident avait duré près de trois ans et était lié à un défaut élémentaire de sécurité. La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. Cela aurait permis d’empêcher que tout internaute puisse y avoir accès.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction.

La formation restreinte de la CNIL a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société. Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire.

A lire aussi

Darty-Cnil

Protection des données personnelles : Darty écope d’une amende de 100 000 euros

La CNIL (Commission Nationale de l'Informatique et des Libertés) vient de décider d'infliger une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.

DuckDuckGo

Brave et DuckDuckGo s’allient pour mieux protéger votre vie privée sur Internet

La navigateur Internet sans publicité passe un partenariat avec le moteur de recherche qui, à l'instar de Qwant en France, ne collecte pas et ne stocke pas les données personnelles et les données de recherche des internautes. DuckDuckGo sera bientôt proposer comme moteur de recherche par défaut aux utilisateurs de Brave.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.