En juillet 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’une violation de données à caractère personnel à partir du site www.ouicar.fr, une plateforme de location de véhicules entre particuliers

La CNIL a alors réalisé en juillet et août 2016 deux missions de contrôle : la première en ligne et la seconde dans les locaux de la société. Elle a constaté que les données de l’ensemble des utilisateurs du site étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API).

La CNIL a ainsi constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site, c’est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location, en modifiant simplement dans l’URL la variable correspondant à l’identifiant de chaque utilisateur. Cette violation de données concernait plusieurs centaines de milliers de personnes.

Prévenue à l’issue du premier contrôle de la CNIL, la société a immédiatement pris les mesures mettant fin à la violation de données.

Les investigations réalisées sur place ont ensuite permis de déterminer que cet incident avait duré près de trois ans et était lié à un défaut élémentaire de sécurité. La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. Cela aurait permis d’empêcher que tout internaute puisse y avoir accès.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction.

La formation restreinte de la CNIL a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société. Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire.

En octobre 2016, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été informée de l’existence d’un incident de sécurité ayant entrainé une violation de données personnelles sur le site « www.cartereduction-hertz.com ». Lors d’un contrôle en ligne elle a constaté que les mesures garantissant la sécurité et la confidentialité des données des adhérents au programme de réduction de la société étaient insuffisantes.

En effet, les agents de la CNIL ont pu accéder librement, à partir d’une adresse URL, aux données personnelles renseignées par 35 357 personnes inscrites sur le site « www.cartereduction-hertz.com » (identité, coordonnées, numéro de permis de conduire).

Prévenue le jour même par la CNIL, la société a alerté son sous-traitant en charge du développement du site, qui a immédiatement pris les mesures nécessaires permettant de mettre fin à la violation de données.

Au cours d’investigations complémentaires réalisées dans les locaux de la société et chez son sous-traitant, la CNIL a appris que la violation de données était la conséquence d’une erreur commise par le prestataire lors d’une opération de changement de serveur. La suppression accidentelle d’une ligne de code avait entrainé le réaffichage des formulaires remplis par les adhérents au programme de réduction.

En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société Hertz France.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 40.000 euros, estimant que la société avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés. La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission.

C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas.