La Commission nationale de l’informatique et des libertés (CNIL) a décidé de taper sur les doigts du site OuiCar qui propose la location de voitures entre particuliers. Le problème vient de la violation de données personnelles.
Dans un communiqué, la CNIL note que les données personnelles des utilisateurs profitants du site de OuiCar sont restées librement accessibles pendant près de trois ans. Elle indique avoir constaté que les données étaient accessibles via de simples URL en lien avec des API utilisées par OuiCar.
Quelles étaient les données accessibles ? Nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location. Il suffisait de changer une variable dans l’URL pour accéder aux données de n’importe quel utilisateur, sans que ce dernier ne soit au courant qui plus est.
OuiCar a été averti du problème et l’a corrigé, mais la CNIL note qu’il a tout de même duré trois ans. Qui plus est, la CNIL souligne que OuiCar aurait dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction.
