Accéder au contenu principal

Pour la première fois, la Cnil a sanctionné une société sans avertissement préalable

Luke Sharrett/Bloomberg via Getty Images

Pour avoir laissé des données de clients accessibles sur son site, la société Hertz s'est vue infliger une amende de 40 000 euros par la Cnil pour "manquement à son obligation de sécurité des données". La sanction a été immédiate, une grande première.

Publicité

Après avoir averti publiquement le site de location de voiture entre particuliers OuiCar.fr pour violation de données personnelles, la Commission s'en est prise au loueur Hertz. Elle a annoncé l'amende de 40 000 euros à la société pour "manquement à son obligation de sécurité des données" sur un site grand public, comme elle l'indique dans un communiqué publié jeudi 27 juillet.

VOIR AUSSI : Fichier TES : il est désormais possible de refuser l’enregistrement de nos empreintes digitales

Cette sanction immédiate est une grande première, rendue possible par la loi Lemaire pour une République numérique entrée en vigueur en novembre 2016. Auparavant, un avertissement devait précéder toute amende.

L'identité des clients en libre accès

En 2016, les agents de la Cnil ont pu avoir accès aux données personnelles des 35 357 personnes inscrites sur le site cartereduction-hertz.com. Ouverte à tous, la plateforme mettait à disposition l'identité de chaque client, ainsi que ses coordonnées personnelles ou encore le numéro de permis de conduire. 

En apprenant la nouvelle, Hertz a exigé de son prestataire qu'il répare l'erreur, non volontaire car liée à une ligne de code supprimée par mégarde et qui a conduit à l'affichage des formulaires remplis par les adhérents au programme de réduction. Si le problème a été corrigé, la Cnil reproche toujours au loueur de voitures de ne pas avoir pris toutes les mesures nécessaires pour protéger les données personnelles de sa clientèle. C'est pourquoi une sanction pécuniaire a été prononcée pour "manquement à l'obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles du site, conformément à l'article 34 de la loi Informatique et Libertés".

Aujourd'hui, la Cnil affirme avoir pris compte "de la réactivité de la société" dans son intention de se mettre au diapason de la sécurité numérique. Gageons que la possibilité d'infliger des sanctions immédiates motivera désormais beaucoup de sociétés à être plus vigilantes.

Quelque chose à ajouter ? Dites-le en commentaire.

Page non trouvée

Le contenu auquel vous tentez d'accéder n'existe pas ou n'est plus disponible.