Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Hertz, première société sanctionnée par la CNIL sous l’empire de la loi Lemaire

L’Hertz et le néant
Droit 3 min
Hertz, première société sanctionnée par la CNIL sous l’empire de la loi Lemaire

Après OuiCar.fr, averti publiquement hier par la CNIL, au tour de la société Hertz France d’être sanctionnée. Cette fois, plus d’avertissement, mais une sanction pécuniaire immédiate. Une modalité ouverte par la loi Lemaire sur la République numérique.

« C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas ». Voilà comment la Commission chargée de veiller au strict respect des données personnelles a présenté hier sa sanction visant Hertz France.

Comme pour OuiCar, c’est une alerte Zataz adressée à la CNIL qui a été à l’origine de cette décision. Le 15 octobre 2016, notre confrère alertait l’autorité d’une brèche à partir de l’URL http://www.cartereduction-hertz.com/create_carte_cb.aspx. La faille, indique la délibération, « permettrait une violation des données de plus de 40 000 clients de la société Hertz France ».

Un mode opératoire très simple

Le mode opératoire était simple : il suffisait d’ajouter, à l’adresse en question, la chaîne cartcb_id= suivie d’un numéro correspondant à un identifiant. Et là, le site fournissait sans broncher les données personnelles des clients bénéficiant d’un programme de réduction : nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire… « La délégation (de la CNIL, ndlr) a ainsi pu accéder aux données à caractère personnel de 35 327 personnes ».

Alertée, la société de location de véhicules a indiqué que cette partie avait été développée par un sous-traitant. « La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements » explique la délibération.

Hertz a eu beau expliquer que la brèche avait été colmatée quatre heures après le signalement, qu’elle a fait organiser un audit de sécurité, qu’aucun client ne s’est plaint de voir ses données éventées, qu’il n’y aucune trace de téléchargement massif, etc. rien n’y a fait.

Une société très réactive, mais négligente 

La Commission a dénoncé « une négligence (…) dans la surveillance des actions de son sous-traitant ». Et quelle négligence : Hertz ne lui a imposé aucun cahier des charges, de plus, le changement de serveur visait du matériel destiné à échanger avec le prestataire de paiement constituait « une opération délicate requérant une attention particulière ». Bref, pour l’autorité, « la société aurait dû s’assurer, à la suite de cette opération, que la mise en production du site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité ».

La sévérité apparente de la décision repose sur une stricte application de l’article 34 de la loi Informatiques et Libertés selon lequel le responsable du traitement doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Et le dispositif ne laisse pas d’échappatoire lorsque ledit responsable n’a pas pris les mesures préventives qui s’imposaient selon les règles de l’art.  

40 000 euros d'amende, aucun avertissement public

La société, qui a certes été très réactive, « n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées » conclut, la délibération. La CNIL au final lui inflige une sanction de 40 000 euros outre la publicité de sa décision, rendue nominative pour une durée de deux ans.

La Commission semble particulièrement agacée que de telles brèches puissent encore exister sur des sites de cette importance. Cette sanction est en tout cas consécutive à l’entrée en vigueur de la loi sur une République numérique. Depuis, comme signalé plus haut, la CNIL n’est plus obligée de passer par la voie d’un avertissement. Elle peut directement décider d’une sanction. Voilà pourquoi hier, Ouicar a écopé d’un tel avertissement pour des faits antérieurs à la loi du 7 octobre 2016, et que Hertz est directement sanctionné sur l’autel de ces nouvelles dispositions. 

69 commentaires
Avatar de anonyme_f6b62d162990fde261db0e0ba2db118e Abonné

" La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs "  gné? :roll: 

Édité par recoding le 28/07/2017 à 07:38
Avatar de Nicky5 Abonné
Avatar de Nicky5Nicky5- 28/07/17 à 07:42:13

Comment supprime t'on une ligne de code en changeant de serveur :/

Etant du métier, cela me laisse perplexe !

D'autant p^lus que aspx indique asp.net donc pour moitié compilé voir plus...

Édité par Nicky5 le 28/07/2017 à 07:43
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 28/07/17 à 07:43:52

"pu accéder aux données à caractère personnel de 35 327 personnes »."

j'espère qu'ils ont automatisé le test :transpi:

Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 28/07/17 à 07:47:20

Pas de cdc au sous traitant !!!!

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 28/07/17 à 08:00:59

Ah je ne suis pas le seul à ne pas comprendre cette phrase de la suppression de la ligne :dd:

En tout cas ils ne choment pas à la CNIL. Comme quoi c'est vraiment une question de moyens...

Avatar de Alameda INpactien
Avatar de AlamedaAlameda- 28/07/17 à 08:10:16

Et encore, la CNIL n'a pas encore commencé à s'attaquer aux problématiques de failles XSS. J'attends impatiement l'injection SQL permettant de récupérer l'intégralité d'une bdd avec un simple champ saisissable.

Par contre je trouve encore la sanction trop faible, 40k euros c'est rien du tout. La sécurité, ça coûte cher (et encore) et si les têtes pensantes jugent le risque coût/bénéfice, ils seraient capable de la porte ouverte avec les clefs sur la porte dès fois que.

Personellement, je pense que la sécurité ne doit pas être négligé mais il ne faut pas non plus trop en faire au risque de détériorer les performances, ou nuire à l'expérience utilisateur (limitation "sécuritaire" empếchant les personnes de faire leur boulot).

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 28/07/17 à 08:13:44

Alameda a écrit :

Par contre je trouve encore la sanction trop faible, 40k euros c'est rien du tout. La sécurité, ça coûte cher (et encore) et si les têtes pensantes jugent le risque coût/bénéfice, ils seraient capable de la porte ouverte avec les clefs sur la porte dès fois que.

Ils ont fait de la merde, mais ils ont réagit vite.
Gardons les grosses amendes pour ceux qui font preuve de mauvaise foi ou qui recommencent.

Avatar de Charly32 Abonné
Avatar de Charly32Charly32- 28/07/17 à 08:23:52

Alameda a écrit :

Par contre je trouve encore la sanction trop faible, 40k euros c'est rien du tout.

C'est clair, ça doit être environ 4x ce que je leur ai lâche cette année...
Bon après ça méritait pas forcément plus, ils ont été réactifs à colmater.

Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 28/07/17 à 08:30:42

Ce sont peut être des radiations cosmiques qui on changé un bit, passant du mode prod au mode debug ?
Y'en a bien un qui va la sortir un jour.

Édité par grosbidule le 28/07/2017 à 08:32
Avatar de Spidard INpactien
Avatar de SpidardSpidard- 28/07/17 à 08:43:15

Ont ils signalé ce traitement automatisé à leurs propres services :transpi: :transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 7