Accueil / NewZilla.NET / Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

Des données personnelles des utilisateurs du site OUICAR.FR sont restées librement accessibles pendant près de trois ans. La formation restreinte de la CNIL a prononcé un avertissement public, estimant que OUICAR avait manqué à son obligation de sécurité et de confidentialité des données.

 

En juillet 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’une violation de données à caractère personnel à partir du site www.ouicar.fr, une plateforme de location de véhicules entre particuliers

La CNIL a alors réalisé en juillet et août 2016 deux missions de contrôle : la première en ligne et la seconde dans les locaux de la société. Elle a constaté que les données de l’ensemble des utilisateurs du site étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API).

La CNIL a ainsi constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site, c’est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location, en modifiant simplement dans l’URL la variable correspondant à l’identifiant de chaque utilisateur. Cette violation de données concernait plusieurs centaines de milliers de personnes.

CNIL-Hertz

Prévenue à l’issue du premier contrôle de la CNIL, la société a immédiatement pris les mesures mettant fin à la violation de données.

Les investigations réalisées sur place ont ensuite permis de déterminer que cet incident avait duré près de trois ans et était lié à un défaut élémentaire de sécurité. La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. Cela aurait permis d’empêcher que tout internaute puisse y avoir accès.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction.

La formation restreinte de la CNIL a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société. Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.