Accueil / NewZilla.NET / Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

Violation de données personnelles : OUICAR averti par la Cnil (Communiqué)

PARTAGER CET ARTICLE
Des données personnelles des utilisateurs du site OUICAR.FR sont restées librement accessibles pendant près de trois ans. La formation restreinte de la CNIL a prononcé un avertissement public, estimant que OUICAR avait manqué à son obligation de sécurité et de confidentialité des données.

 

En juillet 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’une violation de données à caractère personnel à partir du site www.ouicar.fr, une plateforme de location de véhicules entre particuliers

La CNIL a alors réalisé en juillet et août 2016 deux missions de contrôle : la première en ligne et la seconde dans les locaux de la société. Elle a constaté que les données de l’ensemble des utilisateurs du site étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API).

La CNIL a ainsi constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site, c’est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location, en modifiant simplement dans l’URL la variable correspondant à l’identifiant de chaque utilisateur. Cette violation de données concernait plusieurs centaines de milliers de personnes.

CNIL-Hertz

Prévenue à l’issue du premier contrôle de la CNIL, la société a immédiatement pris les mesures mettant fin à la violation de données.

Les investigations réalisées sur place ont ensuite permis de déterminer que cet incident avait duré près de trois ans et était lié à un défaut élémentaire de sécurité. La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. Cela aurait permis d’empêcher que tout internaute puisse y avoir accès.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction.

La formation restreinte de la CNIL a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société. Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire.

A lire aussi sur NewZilla.NET

rgpd-google-gdpr-cnil

La CNIL inflige une amende record de 50 millions d’euros à Google pour manque de transparence sur le RGPD

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Intelligence-artificielle-cnil

Marie-Laure Denis, une nouvelle présidente pour la CNIL

Passée par l’Arcep et le CSA, Marie-Laure Denis remplacera prochainement Isabelle Falque-Pierrotin qui occupait ce poste depuis 2011.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.