La plateforme de location de véhicules entre particuliers a manqué à ses obligations en matière de protection des données personnelles. Avertie en juillet 2016, la Cnil a procédé à un premier contrôle mettant en évidence que « l’ensemble des utilisateurs du site étaient accessibles via la saisie dans la barre du navigateur de deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API) ».
Il était ainsi possible d’accéder à de très nombreuses données personnelles et sensibles telles que les nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location. Plusieurs centaines de milliers de personnes étaient concernées.
Sanction pécuniaire évitée
Suite à la première visite de la Cnil, l’entreprise a rapidement tout remis en ordre. Mais les investigations menées sur place ont aussi montré que ce défaut durait depuis trois ans. « La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées », écrit la Cnil.
Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société. « Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire », met en garde la commission.