En pleine opposition entre taxis et VTC, une décision de la CNIL montre que certaines sociétés de chauffeurs privés prennent un peu trop de libertés avec les données personnelles de leurs clients. L’entreprise Allocab (dont un des investisseurs est la SNCF) vient de se voir infliger une amende de 15 000 euros par le régulateur pour non-respect des obligations de protection des données personnelles.
L’affaire a débuté en 2015 quand la CNIL a mené un contrôle dans les locaux du spécialiste des VTC. Elle constate alors plusieurs manquements à la loi Informatique et Libertés : absence de définition de la durée de conservation des données présentes en base ; conservation des données relatives aux cryptogrammes des cartes bancaires au-delà du temps nécessaire à la réalisation de la transaction ; absence de purge des données des clients ayant demandé la suppression de leurs comptes et enfin des lacunes dans les mesures prises pour garantir la sécurité et la confidentialité des données des utilisateurs du site. La Commission adresse donc une lettre de mise en demeure à Allocab lui enjoignant de traiter ces différents points.
Après un échange de courrier, la société de VTC a indiqué avoir pris des mesures pour respecter les exigences du régulateur. Mais un second contrôle des inspecteurs de la CNIL a permis de constater que plusieurs manquements subsistaient, notamment la persistance de données relatives à des comptes inactifs, malgré une purge du système. Allocab se défend en mettant en avant une erreur technique. Cet argument n’a pas suffi à attendrir la formation restreinte de la CNIL. Cette dernière dresse le constat de manquements qui perdurent au-delà du temps imparti pour résoudre ces problèmes. En conséquence, elle inflige une amende de 15 000 euros à la société.
Une note finalement assez légère, qui pourrait s’alourdir très prochainement quand le règlement européen sur la protection des données, le GDPR, entrera en vigueur. Soit dans un an tout juste. Le texte renforce significativement les sanctions administratives à l’encontre des responsables de traitement et des sous-traitants qui ne respecteraient pas les dispositions du texte, avec des amendes pouvant atteindre 4 % du chiffre d’affaires d’une entreprise.
A lire aussi :
SNDS : la CNIL tousse sur la sécurité du grand fichier de santé
Données personnelles : Meetic et Attractive World sanctionnés par la CNIL
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…