Après avoir émis un avertissement public à l’entreprise OuiCar plus tôt cette semaine, la Cnil réitère mais frappe plus fort : elle condamne le loueur Hertz à 40 000 euros d’amende pour manquement « à son obligation de sécurité des données ».
Si OuiCar avait échappé à une sanction financière, c’est parce que les faits reprochés avaient eu lieu avant l’entrée en vigueur de la loi pour une République numérique. C’est aussi le cas dans l’affaire Hertz, qui remonte à octobre 2016, mais là pas de chance pour le loueur de voitures, puisque la loi a été promulguée le même mois. Ce faisant, la Cnil avait donc tout loisir de lui adresser une sanction financière.
Et c’est donc ce qu’elle a fait après s’être rendue compte que « les mesures garantissant la sécurité et la confidentialité des données des adhérents au programme de réduction de la société étaient insuffisantes ». Il s’agissait de failles sur le site www.cartereduction-hertz.com. Les données personnelles de 35 357 personnes (identité, coordonnées, numéro de permis de conduire) étaient alors en accès libre.
C’est un sous-traitant du site qui est responsable du problème qui est « la conséquence d’une erreur commise par le prestataire lors d’une opération de changement de serveur. La suppression accidentelle d’une ligne de code avait entraîné le réaffichage des formulaires remplis par les adhérents au programme de réduction ». Après avoir nommé un rapporteur, la formation restreinte de la Cnil a donc prononcé une sanction pécuniaire, la première depuis la loi République numérique.