Données personnelles : la CNIL inflige 15 000 € d’amende à Allocab

Le service de VTC Allocab a été sanctionné d’une amende par la CNIL pour non-respect de ses obligations de protection des données personnelles.

En pleine opposition entre taxis et VTC, une décision de la CNIL montre que certaines sociétés de chauffeurs privés prennent un peu trop de libertés avec les données personnelles de leurs clients. L’entreprise Allocab (dont un des investisseurs est la SNCF) vient de se voir infliger une amende de 15 000 euros par le régulateur pour non-respect des obligations de protection des données personnelles.

Plusieurs infractions constatées

L’affaire a débuté en 2015 quand la CNIL a mené un contrôle dans les locaux du spécialiste des VTC. Elle constate alors plusieurs manquements à la loi Informatique et Libertés : absence de définition de la durée de conservation des données présentes en base ; conservation des données relatives aux cryptogrammes des cartes bancaires au-delà du temps nécessaire à la réalisation de la transaction ; absence de purge des données des clients ayant demandé la suppression de leurs comptes et enfin des lacunes dans les mesures prises pour garantir la sécurité et la confidentialité des données des utilisateurs du site. La Commission adresse donc une lettre de mise en demeure à Allocab lui enjoignant de traiter ces différents points.

Une persistance des manquements condamnée

Après un échange de courrier, la société de VTC a indiqué avoir pris des mesures pour respecter les exigences du régulateur. Mais un second contrôle des inspecteurs de la CNIL a permis de constater que plusieurs manquements subsistaient, notamment la persistance de données relatives à des comptes inactifs, malgré une purge du système. Allocab se défend en mettant en avant une erreur technique. Cet argument n’a pas suffi à attendrir la formation restreinte de la CNIL. Cette dernière dresse le constat de manquements qui perdurent au-delà du temps imparti pour résoudre ces problèmes. En conséquence, elle inflige une amende de 15 000 euros à la société.

Une note finalement assez légère, qui pourrait s’alourdir très prochainement quand le règlement européen sur la protection des données, le GDPR, entrera en vigueur. Soit dans un an tout juste. Le texte renforce significativement les sanctions administratives à l’encontre des responsables de traitement et des sous-traitants qui ne respecteraient pas les dispositions du texte, avec des amendes pouvant atteindre 4 % du chiffre d’affaires d’une entreprise.

A lire aussi :

SNDS : la CNIL tousse sur la sécurité du grand fichier de santé

Données personnelles : Meetic et Attractive World sanctionnés par la CNIL

Photo credit: dharder9475 via Visualhunt /  CC BY-NC