L’institution a publié, le 26 juillet dernier, un communiqué public dénonçant la politique de confidentialité douteuse de l’application OuiCar. Cette dernière aurait mal protégé les données personnelles de ses utilisateurs pendant trois ans et se trouve désormais dans le collimateur de la CNIL.
Un faux pas pour la start-up prometteuse de l’autopartage
OuiCar s’inscrit dans le secteur de l’autopartage et se présente sous la forme d’une application sur laquelle les utilisateurs peuvent proposer leurs véhicules à la location. Leader français dans ce domaine, elle permet notamment, grâce à un partenariat avec la SNCF, de louer la voiture d’un particulier à la sortie d’une gare. La start-up s’avérerait néanmoins négligente et s’est vue, le 26 juillet dernier, publiquement avertie par la CNIL, Commission nationale de l’informatique et des libertés. Alertée en juillet 2016, cette dernière aurait procédé à un contrôle de l’application et ses conclusions se révèlent assez négatives voire inquiétants : les données personnelles des membres enregistrées sur la plateforme auraient été mal protégées et très facilement accessibles pendant trois ans.
Un défaut de sécurité dans la protection des données
Sur son site, l’institution indique : « La CNIL a constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site, c’est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location. » Cette opération de piratage s’effectuerait de façon très simple, en saisissant « dans la barre du navigateur deux URL (« Uniform Ressource Local ») correspondant à des interfaces de programmation applicatives (API) », continue la CNIL dans son rapport. Plusieurs centaines de milliers de personnes auraient donc été vulnérables pendant trois ans.
La fondatrice de l’application, Marion Carnette, se défend : « Dès que nos développeurs ont appris l’existence de la faille, fin juillet 2016, ils ont travaillé tout le week-end pour réparer notre erreur. »
Une amende salée évitée de justesse
Suite à l’avertissement, Marion Carnette déclarait : « C’est un bon avertissement pour nous. À ma connaissance, il n’y a eu aucun préjudice pour les utilisateurs. » Dans son rapport, la CNIL précisait néanmoins que « la société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. » Son avertissement à l’encontre de OuiCar ne sera, pour cette fois, pas accompagné d’amende mais constitue une mise en garde sérieuse. L’institution en a profité pour rappeler son pouvoir de sanction pécuniaire : les amendes délivrées pourraient aller jusqu’à trois millions d’euros.