Hertz France reçoit une amende de 40 000 euros pour avoir exposé les données de ses clients

L’autorité national française de protection des données (CNIL) a infligé une amende de 40 000 euros à l’entreprise de location de voiture, Hertz France, suite à la fuite de données personnelles de ses clients en ligne.

La CNIL, qui a été informée de cette faille de sécurité le 15 octobre 2016 et a découvert que 35 357 clients étaient affectés. La raison de cette fuite de données était une erreur dans le code écrit par un sous-traitant responsable du design du site internet de Hertz France. La CNIL a estimé que Hertz France avait été négligent en ne supervisant pas d’assez près les actions de son sous-traitant mais a été indulgente vis-à-vis de sa sanction puisque l’entreprise a vite résolu le problème une fois qu’elle en a pris connaissance.

 

Un “signal fort” qui montre qu’un changement est nécessaire

C’est la première fois que la CNIL inflige une sanction financière pour violation de données. En effet, les lois nationales sur la protection des données ont été mises à jour en 2016, lui donnant le pouvoir de sanctionner les entreprises. La loi française pour une République numérique a été mise en vigueur le 7 octobre 2016 – une semaine seulement avant que la CNIL ait été informé de cet incident – et a pour but de combler le fossé entre les lois précédentes sur les données et le Règlement Général Européen sur la Protection des Données (RGPD).

Gabriel Voisin, partenaire chez Bird & Bird expert dans le domaine de la confidentialité internationale et de la protection des données a discuté de l’amende infligé par la CNIL avec Bloomberg BNA. Selon lui, cette amende « est un signal fort montrant aux organisations qu’elles doivent mettre en place les mesures de sécurité appropriées » afin de protéger les données personnelles des utilisateurs.

Du fait des exigences strictes du RGPD et des sanctions strictes, toutes les organisations doivent évaluer leurs mesures de sécurité avant la date butoir de mai 2018. Si les amendes de la CNIL ont les effets espérés par Voisin, elles permettront d’apporter les changements nécessaires au respect du RGPD.

L’année dernière, la CNIL a découvert qu’un autre site français de location de voiture entre particulier, OuiCar, a exposé les données personnelles de ses clients suite à une erreur similaire de codage. Cependant, cet incident ayant été découvert et étudié avant la mise à jour de la loi française de protection des données, OuiCar n’a jamais été sanctionné financièrement.

 

Préparations au RGPD

Les principes de responsabilité du RGPD indique que les organisations doivent non seulement se conformer au RGPD mais également être capable de démontrer leur conformité. Cela signifie, tenir à jour un registre des activités de traitement et les partager avec l’autorité de contrôle de la protection des données sur demande.

Notre boite à outil de documentation réduit la charge de travail requise au développement de documents nécessaires à la mise en conformité puisqu’elle contient un ensemble de politiques et procédures dont les organisations ont besoin pour se conformer au RGPD.

Vous pouvez également bénéficier d’un accompagnement professionnel pour répondre au mieux aux obligations de conformité et aux bonnes pratiques dans le domaine des données personnelles.

Assurez-vous que vous avez bien identifié les risques liés aux données personnelles et que vous êtes en mesure de mettre en place les contrôles nécessaires à la protection de vos données.

Intégrer les documentations aux processus de votre organisation rapidement et facilement en utilisant nos documents types.

Découvrez notre boite à outil RGPD en Anglais

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.