La plateforme de location de véhicules entre particuliers OuiCar.fr a été sanctionnée par la CNIL. Pour être tenue responsable d’une violation de données personnelles concernant « plusieurs centaines de milliers de personnes », elle écope d’un avertissement public, même si sa bonne foi a été reconnue.
Tout est parti d’une alerte de Zataz.fr en juillet 2016. Nos confrères avaient pris soin de prévenir la CNIL d’une faille sur le site OuiCar.fr. En modifiant les variables sur des URL du site, on pouvait accéder à quantité de données personnelles.
La Commission a procédé à plusieurs contrôles en ligne et sur place pour détailler le mode opératoire. Ainsi, avec l’URL https://www.OuiCar.fr/api/car/search?dpt=75, il était possible d’avoir « accès à une liste des données des véhicules proposés à la location en Ile de France par le site www.ouicar.fr , ainsi qu’aux données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte ». Marque, modèle du véhicule, nom, prénom, adresse postale, téléphone fixe ou portable, date de naissance, numéro de permis de conduire et date d’obtention du permis du propriétaire du véhicule, la localisation géographique des voitures, nom, prénom et identifiant de l’auteur du commentaire…
Des variables bavardes dans des URL
En modifiant le numéro « dpt », on pouvait également reproduire cette consultation pour l’ensemble des départements, excepté Saint-Pierre-et-Miquelon. La CNIL a alors « eu accès à une liste comportant les noms et prénoms de tous les propriétaires et locataires d’un véhicule proposé à la location au moment de la recherche, associés dans la plupart des hypothèses à leur adresse, numéro de téléphone fixe et/ou portable et à la localisation de leurs véhicules, soit aux données de 52 505 personnes ». Ce n’est pas tout, puisqu’en jouant cette fois sur la variable finale de https://www.ouicar.fr/api/v1/user/get?id=****, elle a pu accéder aux données de n’importe quel utilisateur.
Après avoir pris contact avec la société en août 2016, la CNIL a effectué de nouvelles vérifications pour constater cette fois que « la saisie des URL litigieuses dans la barre du navigateur ne permettait plus d’accéder à des données à caractère personnel ». Malgré tout la Commission a prolongé l’instruction.
Zataz n’est pas un lanceur d’alerte selon OuiCar
Au fil de celle-ci, OuiCar a tenté – vainement - de réclamer un huis clos, mais a surtout essayé de relativiser la gravité de ces problèmes. Elle a exposé, selon le résumé fait par la Commission, que « la violation de données résulte d’une simple erreur de code, qui est très répandue et qui n’a causé aucune atteinte à la vie privée des personnes concernées ».
Elle a par ailleurs considéré que la vérification effectuée par Zataz était frauduleuse, dès lors que notre confrère n’avait pas le statut protecteur des lanceurs d’alerte… De plus, elle assure avoir tout mis en œuvre pour assurer la protection des données, au titre d’une obligation de moyen. Enfin, les rustines nécessaires ont été apposées dès la révélation de la violation de données.
Défaut de mesures élémentaires de sécurité
La CNIL a balayé cette défense : le statut de Zataz est sans incidence sur les constats effectués par ses enquêteurs. Elle reproche avant tout à OuiCar de ne pas avoir pris en amont « les mesures élémentaires de sécurité », même si elle relève la bonne foi de la société « qui a réagi immédiatement après la révélation de la violation de données ».
La formation restreinte de la CNIL considère surtout que la société « aurait dû mettre en place un processus d’authentification permettant de restreindre l’accès aux résultats affichés par les API (interfaces de programmation applicatives, ndlr) ». De plus, « la violation de données aurait pu être réduite si la société avait veillé à n’intégrer dans les réponses des API que les seules données strictement nécessaires à l’affichage de son site web ». Une telle solution « aurait notamment permis de ne révéler que la première lettre du nom patronymique des utilisateurs et non l’intégralité de ce dernier ».
Pour justifier sa sanction, un avertissement public pour ne pas avoir appliqué les précautions utiles, elle s’appuie sur l’ampleur de l’incident et sa durée. « Les données à caractère personnel sont restées librement accessibles pendant près de trois ans puisque les API se trouvant à l’origine de la violation de données ont été mises en production entre juillet 2012 et novembre 2013. La résolution de la violation de données date, quant à elle, d’août 2016 ».
Une décision rendue anonyme dans deux ans
Remarquons que la délibération de la CNIL devra être rendue anonyme à l’expiration d’un délai de deux ans à compter de sa publication. Cette borne temporelle a été imposée, et d’une certaine manière calibrée par le Conseil d’État dans un autre dossier, celui visant Optical Center sanctionné cette fois d’une amende de 50 000 euros. Notons enfin que l’avertissement public infligé à OuiCar.fr pourra être attaqué par l’entreprise devant le Conseil d’État, sachant que l’article 34 de la loi de 1978 indique que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
