Une arme supplémentaire pour la Cnil

La Commission nationale de l’informatique et des libertés (Cnil) vient de condamner Hertz France pour violation des données personnelles de ses clients. La sanction prononcée à son égard est la première appliquée sous l’empire de la loi pour une République numérique du 7 octobre 2016.
 

Un incident technique qui coûte cher

Dans le cadre de son activité principale de location de voiture, Hertz enregistre les inscriptions de ses clients sur un site dédié aux réductions tarifaires. Sont enregistrées leurs données personnelles telles que leur identité, leur coordonnées… Jusqu’ici, ce ne sont que les formalités banales réclamées par de nombreux sites internet à leurs clients ou usagers. Jusqu’à ce que la Cnil, lors d’un contrôle en ligne, accède librement aux données personnelles de ceux de Hertz. La raison : suite à un incident technique informatique, les formulaires remplis ont été rendus publiquement visibles. Une erreur qui coûtera à Hertz une amende de 40 000 euros, sur le motif du « manquement à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs de son site », comme l’indique le régulateur dans son communiqué du 27 juillet 2017.

Cette obligation résulte de l’article 34 de la loi informatique et libertés modifié par la loi d’Axelle Lemaire en octobre dernier. Auparavant, seul un avertissement faisait office de sanction face à un tel manquement, comme ce fut le cas pour la société Ouicar un an avant. La nouvelle loi invite donc les sociétés utilisatrices d’internet à prêter la plus grande attention à la protection des données fournies par leurs clients.

Marine Calvo