Cette sanction fait suite à un incident de sécurité sur le site www.cartereduction-hertz.com, qui permet d’adhérer en ligne à la carte de fidélité Hertz Horizons.
Suite à une erreur commise par le prestataire du site web lors d’un changement de serveur, les données personnelles de 35 357 personnes étaient accessibles en ligne, via les formulaires d’adhésion au programme de fidélité (identité, coordonnées et numéro de permis de conduire).
Informée en octobre 2016, la Commission nationale de l’informatique et des libertés (CNIL) a estimé après enquête que la société Hertz « avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs de son site. » Le montant de l’amende ne s’élève toutefois qu’à 40 000 euros, la réactivité et la coopération de Hertz ayant joué en sa faveur.
Les entreprises désormais sanctionnées par une amende
C’est la première fois que la CNIL prononce une sanction pécuniaire pour violation de données. Cette mesure a été mise en place par l’article 34 de la Loi Informatique et Libertés, entrée en vigueur en novembre 2016. Auparavant, les entreprises n’encourraient qu’un avertissement, comme ce fut le cas pour OuiCar. La CNIL avait découvert en juillet 2016 que la société de location de location de voiture entre particuliers n’avait pas protégé les données de ses milliers de clients, qui étaient restées accessibles en ligne pendant trois ans (nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule loué).