OuiCar rappelé à l’ordre par la CNIL pour des données en accès libre
OuiCar écope d’un avertissement public de la CNIL pour avoir laissé, pendant plus de trois ans, des données personnelles d’utilisateurs en accès libre.
« Le responsable du traitement est tenu de prendre toutes précautions utiles […] pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Ces dispositions inscrites à l’article 34 de la loi « Informatique et Libertés », la CNIL les mentionne dans une délibération du 20 juillet 2017 par laquelle elle prononce un avertissement public à l’encontre de OuiCar.
La société du groupe SNCF* est pointée du doigt pour avoir laissé librement accessibles, pendant près de trois ans, des données personnelles d’utilisateurs de sa plate-forme de location de véhicules entre particuliers.
L’ouverture du dossier remonte à l’été dernier. Informée, par l’éditeur du site zataz.com, de l’existence d’une violation de données à caractère personnel, la CNIL avait mené, le 29 juillet, une première mission de contrôle en ligne.
Elle avait, à cette occasion, saisi, dans la barre d’adresse d’un navigateur, l’URL https://www.ouicar.fr/api/car/search?dpt=75.
Connectée à une interface de programmation logicielle (API), ladite URL a renvoyé, au format JSON, des données sur l’ensemble des véhicules proposés à la location en Île-de-France… ainsi que sur leurs propriétaires et leurs locataires.
Les données en question étaient structurées en plusieurs parties, dont « cars » (modèle, marque, prix de mise en location), « owner » (nom, prénom, adresse postale, numéro de téléphone, date de naissance du propriétaire, ainsi que le numéro de son permis de conduire et la date d’obtention) ou encore « evaluations » (nom, prénom et identifiant de l’auteur de chaque commentaire).
Bonne foi
Modifier, dans l’URL, la variable correspondant au numéro de département, suffisait à accéder aux données des utilisateurs sur toute la France, à l’exception de Saint-Pierre-et-Miquelon. Soit plus de 52 000 personnes concernées.
La CNIL avait également constaté qu’il était possible d’accéder directement aux données d’un utilisateur précis en indiquant, dans l’URL, son identifiant, de type https://www.ouicar.fr/api/v1/user/get?id=347242.
Le 1er août, OuiCar avait signalé envisager la mise en production, pour le lendemain, d’une version « corrigée » de son site. Ce fut le cas, comme l’ont confirmé des contrôles ultérieurs.
Dans un courrier du 11 août, la société avait précisé que les API incriminées étaient exploitées au moins depuis novembre 2013. Aussi la CNIL avait-elle engagé une procédure de sanction.
Pour sa défense, OuiCar a fait état d’une « simple erreur de code » n’ayant causé « aucune atteinte à la vie privée des personnes concernées », tout en soutenant n’avoir eu à sa charge qu’une obligation de moyens et non de résultat.
La CNIL a estimé qu’une procédure d’authentification aurait dû être mise en place pour restreindre l’accès aux résultats affichés par l’API. Elle note par ailleurs que la violation de données aurait pu être réduite si OuiCar avait veillé à intégrer, dans les réponses des API, uniquement les données nécessaires à l’affichage de son site Web.
Et de préciser qu’une sanction pécuniaire aurait pu être prononcée si les faits incriminés s’étaient déroulés après l’entrée en vigueur de la loi Lemaire « Pour une République numérique ».
* OuiCar avait vu le jour en juillet 2012 en tant qu’émanation du site ZiLok (location de tous produits et services). La SNCF en avait pris le contrôle à la mi-2015, montant à 75 % du capital pour 28 millions d’euros. La société emploie aujourd’hui 45 salariés. Elle est basée à Paris.