La Cnil a prononcé un avertissement public à l’encontre de la société OUICAR pour manquement à son obligation de sécurité et de confidentialité des donnée des utilisateurs, restées librement accessibles pendant près de trois ans.
En 2016, la Commission nationale de l’informatique et des libertés (Cnil) a été informée de l’existence d’une violation de données à caractère personnel à partir du site de la société OUICAR, plateforme de location de véhicules entre particuliers.
Suite à la réalisation de deux missions de contrôle, la Cnil a constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site en modifiant simplement dans l’Uniform ressource local (URL) la variable correspondant à l’identifiant de chaque utilisateur. Cet incident a duré près de trois ans et était lié à un défaut élémentaire de sécurité.
Le 20 juillet 2017, la Cnil a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés.
Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société.
Références
- Communiqué de presse de la Cnil du 26 juillet 2017 - "Violation de données personnelles : avertissement à l’encontre de la société OUICAR" - Cliquer ici
- Délibération n° SAN-2017-011 de la Commission nationale de l’informatique et des libertés (Cnil) du 20 juillet 2017 - Cliquer ici
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 34 - Cliquer ici
- Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique - Cliquer ici
Sources
Commission nationale de l’informatique et des libertés (Cnil), 26 juillet 2017 - www.cnil.fr
