Quelques jours après l’avertissement adressé à OuiCar.fr pour manquement à son obligation en matière de protection des données personnelles, la CNIL inflige cette fois un régime plus sévère à un autre spécialiste de la location de véhicules, Hertz. Ce dernier vient pour sa part d’écoper d’une sanction de 40 000 euros. Pourquoi cette différence de traitement ? Dans le cas de OuiCar.fr, qui avait laissé pendant près de 3 ans les données des utilisateurs de son site accessibles à partir de deux URL correspondant à des API, ces manquements ont été constatés par la CNIL avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, présentée par Axelle Lemaire. Tandis que les faits reprochés à Hertz ont justement été signalés en octobre 2016 à la Commission nationale de l’Informatique et des Libertés. Pas de chance pour Hertz, il s'en est sans doute fallu de peu. Et pourtant, le loueur de véhicules a réagi au plus vite, ainsi que le souligne la CNIL dans son communiqué du 27 juillet.

Lors d’un contrôle en ligne, les agents de la Commission ont constaté qu’ils pouvaient, à partir d’une adresse URL, accéder librement aux données personnelles (identité, coordonnées, numéro de permis de conduire) communiquées par 35 357 utilisateurs du site « www.cartereduction-hertz.com ». Cette violation de données résultait d’une erreur d’un prestataire commise au cours d’une opération de changement de serveur, ainsi que l’a révélé l’enquête conduite par la CNIL chez Hertz et son sous-traitant. Une suppression accidentelle de code avait « entraîné le réaffichage des formulaires remplis par les adhérents au programme de réduction », explique la Commission.

Hertz a réagi avec rapidité et diligenté un audit de sécurité

Aussitôt avertie par la CNIL, la société Hertz France est intervenue auprès du sous-traitant responsable du développement de son site « qui a immédiatement pris les mesures nécessaires permettant de mettre fin à la violation de données », souligne la Commission en assurant avoir « tenu compte de la réactivité de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission ». Malgré tout, voilà Hertz sanctionné au portefeuille.

Cette décision de la formation restreinte de la CNIL résultant de la délibération du 18 juillet dernier laisse augurer de ce qu’il adviendra aux entreprises qui négligeraient de protéger les données personnelles de leurs clients, employés ou utilisateurs après la mise en application du RGDP/GDPR, règlement général sur la protection des données, qui doit entrer en vigueur en mai 2018. A ce sujet, nous vous invitons à répondre à l’enquête GDPR Le Monde Informatique/CIO. Lire également notre dossier, ainsi que la récente chronique de Florian Douetteau, CEO de Dataiku, « Conformité GDPR : Entreprises, il est temps de recruter un délégué à la protection des données ! »

La CNIL met en garde contre des appels frauduleux

La CNIL met par ailleurs en garde les entreprises sur de faux appels passés en ce moment venant de personnes se faisant passer pour elle et qui prétextent devoir envoyer des documents. Elle avertit que « ces appels frauduleux ont pour but de collecter des informations sur votre organisation, et notamment l’adresse mail de dirigeants (directeur informatique, directeur des achats, etc.), pour préparer une escroquerie ou une attaque informatique ». En cas de doute, on peut la contacter au 01 53 73 22 22.