Hertz, première société sanctionnée par la CNIL sous l’empire de la loi Lemaire

Le mode opératoire était simple : il suffisait d’ajouter, à l’adresse en question, la chaîne cartcb_id= suivie d’un numéro correspondant à un identifiant. Et là, le site fournissait sans broncher les données personnelles des clients bénéficiant d’un programme de réduction : nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire… « La délégation (de la CNIL, ndlr) a ainsi pu accéder aux données à caractère personnel de 35 327 personnes ».

Alertée, la société de location de véhicules a indiqué que cette partie avait été développée par un sous-traitant. « La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements » explique la délibération.

Hertz a eu beau expliquer que la brèche avait été colmatée quatre heures après le signalement, qu’elle a fait organiser un audit de sécurité, qu’aucun client ne s’est plaint de voir ses données éventées, qu’il n’y aucune trace de téléchargement massif, etc. rien n’y a fait.

Une société très réactive, mais négligente 

La Commission a dénoncé « une négligence (…) dans la surveillance des actions de son sous-traitant ». Et quelle négligence : Hertz ne lui a imposé aucun cahier des charges, de plus, le changement de serveur visait du matériel destiné à échanger avec le prestataire de paiement constituait « une opération délicate requérant une attention particulière ». Bref, pour l’autorité, « la société aurait dû s’assurer, à la suite de cette opération, que la mise en production du site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité ».

La sévérité apparente de la décision repose sur une stricte application de l’article 34 de la loi Informatiques et Libertés selon lequel le responsable du traitement doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Et le dispositif ne laisse pas d’échappatoire lorsque ledit responsable n’a pas pris les mesures préventives qui s’imposaient selon les règles de l’art.  

40 000 euros d'amende, aucun avertissement public

La société, qui a certes été très réactive, « n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées » conclut, la délibération. La CNIL au final lui inflige une sanction de 40 000 euros outre la publicité de sa décision, rendue nominative pour une durée de deux ans.

La Commission semble particulièrement agacée que de telles brèches puissent encore exister sur des sites de cette importance. Cette sanction est en tout cas consécutive à l’entrée en vigueur de la loi sur une République numérique. Depuis, comme signalé plus haut, la CNIL n’est plus obligée de passer par la voie d’un avertissement. Elle peut directement décider d’une sanction. Voilà pourquoi hier, Ouicar a écopé d’un tel avertissement pour des faits antérieurs à la loi du 7 octobre 2016, et que Hertz est directement sanctionné sur l’autel de ces nouvelles dispositions.