Données personnelles : Ouicar fait une sortie de route

Reynald Fléchaux,

La CNIL adresse un avertissement public au site de partage de véhicules Ouicar. Une faille de ce dernier a exposé les données personnelles de ses utilisateurs, via une simple requête interrogeant son API !

Dans quelques mois, après l’entrée en vigueur du GDPR en mai prochain, la société d’autopartage Ouicar.fr ne s’en serait certainement pas tirée à si bon compte. Pour défaut de sécurisation des données personnelles de l’ensemble des utilisateurs du site, le site hérite d’un simple avertissement public de la CNIL. Qui considère que Ouicar a manqué à son obligation de sécurisation des données que lui confient ses clients.

L’affaire débute en juillet 2016 quand la CNIL est informée, par une alerte de Zataz.com, d’un bug sur la plateforme de location de véhicules entre particuliers. Les contrôles de la Commission, en juillet et août 2016, permettent de confirmer un grave défaut de sécurisation : il suffisait en effet de saisir une URL correspondant à une API du service pour recevoir, au format JSon, et département par département, une liste des données des véhicules proposés à la location par le site, ainsi que « les données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte ». Sans nécessité de s’authentifier.

« Défaut élémentaire de sécurité » pour la CNIL

Dans cet ensemble de données figuraient les noms, prénoms, adresses, numéros de téléphone, dates de naissance, numéros de permis de conduire et localisation des véhicules proposés à la location. Par ailleurs, la CNIL a aussi constaté qu’il était possible, toujours via une simple URL, d’accéder aux données personnelles d’un utilisateur en particulier, en intégrant à l’adresse Internet la variable correspondant à l’identifiant de ce dernier. Ces failles aujourd’hui corrigées concernaient plusieurs centaines de milliers de personnes. Liée à « un défaut élémentaire de sécurité » (sic), cette faiblesse structurelle du site Ouicar a duré près de 3 ans. La société s’en tire avec un simple avertissement public, les faits étant antérieurs avant l’entrée en vigueur de la loi pour une République numérique.

Mais la CNIL en profite pour lancer un avertissement. De pareils faits pourraient bien se traduire désormais par des amendes, la loi portée par Axelle Lemaire prévoyant des sanctions pécuniaires « proportionnées à la gravité du manquement commis » dans la limite de 3 millions d’euros. Le règlement européen GDPR, qui entrera en vigueur en mai prochain, va même bien plus loin, portant ce montant à 4 % du chiffre d’affaires annuel mondial de la société fautive ou 20 millions d’euros.

A lire aussi :

Snobée sur l’antiterrorisme, la CNIL met en garde le gouvernement sur le chiffrement

CNIL : Facebook écope d’une amende symbolique de 150 000 euros

Données personnelles : la CNIL inflige 15 000 € d’amende à Allocab