Pour gérer vos consentements :

Données personnelles : Ouicar fait une sortie de route

Dans quelques mois, après l’entrée en vigueur du GDPR en mai prochain, la société d’autopartage Ouicar.fr ne s’en serait certainement pas tirée à si bon compte. Pour défaut de sécurisation des données personnelles de l’ensemble des utilisateurs du site, le site hérite d’un simple avertissement public de la CNIL. Qui considère que Ouicar a manqué à son obligation de sécurisation des données que lui confient ses clients.

L’affaire débute en juillet 2016 quand la CNIL est informée, par une alerte de Zataz.com, d’un bug sur la plateforme de location de véhicules entre particuliers. Les contrôles de la Commission, en juillet et août 2016, permettent de confirmer un grave défaut de sécurisation : il suffisait en effet de saisir une URL correspondant à une API du service pour recevoir, au format JSon, et département par département, une liste des données des véhicules proposés à la location par le site, ainsi que « les données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte ». Sans nécessité de s’authentifier.

« Défaut élémentaire de sécurité » pour la CNIL

Dans cet ensemble de données figuraient les noms, prénoms, adresses, numéros de téléphone, dates de naissance, numéros de permis de conduire et localisation des véhicules proposés à la location. Par ailleurs, la CNIL a aussi constaté qu’il était possible, toujours via une simple URL, d’accéder aux données personnelles d’un utilisateur en particulier, en intégrant à l’adresse Internet la variable correspondant à l’identifiant de ce dernier. Ces failles aujourd’hui corrigées concernaient plusieurs centaines de milliers de personnes. Liée à « un défaut élémentaire de sécurité » (sic), cette faiblesse structurelle du site Ouicar a duré près de 3 ans. La société s’en tire avec un simple avertissement public, les faits étant antérieurs avant l’entrée en vigueur de la loi pour une République numérique.

Mais la CNIL en profite pour lancer un avertissement. De pareils faits pourraient bien se traduire désormais par des amendes, la loi portée par Axelle Lemaire prévoyant des sanctions pécuniaires « proportionnées à la gravité du manquement commis » dans la limite de 3 millions d’euros. Le règlement européen GDPR, qui entrera en vigueur en mai prochain, va même bien plus loin, portant ce montant à 4 % du chiffre d’affaires annuel mondial de la société fautive ou 20 millions d’euros.

A lire aussi :

Snobée sur l’antiterrorisme, la CNIL met en garde le gouvernement sur le chiffrement

CNIL : Facebook écope d’une amende symbolique de 150 000 euros

Données personnelles : la CNIL inflige 15 000 € d’amende à Allocab

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

7 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

12 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

13 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago