Nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location : « toutes ces données étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API) », note la CNIL à propos du site OuiCar.fr, où la SNCF est majoritaire. Des données accessibles pendant près de trois ans.

Le régulateur a donc sanctionné. Dans son langage c'est un « avertissement  » adopté en formation restreinte. La CNIL avait procédé à des missions de contrôle, en interne et en ligne, à l'été 2016. Des centaines de milliers de personnes étaient concernées. La société OuiCar a pris les mesures nécessaires dès que le régulateur l'a informée.

D'autres sociétés comme Cdiscount ont fait l'objet d'une procédure identique. OuiCar échappe à une sanction plus forte. Les faits ayant été constatés avant l'entrée en vigueur de la loi pour une République numérique du 7 octobre 2016. Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire, avec un maximum de 3 millions d'euros. C'est arrivé à Facebook en mai dernier. Et l'an prochain entrera en vigueur GDPR, le Règlement européen sur la protection des données personnelles qui prévoit son lot de sanction financière, avec en France, la CNIL comme shérif.