La CNIL inflige 15 000 euros d’amende à Allocab pour manquement à la réglementation sur les données personnelles

May 5, 2017
Vote on Hacker News

Ayant constaté qu’Allocab, un service de VTC, violait sciemment la loi « Informatique et Liberté » relative à la protection des données personnelles, la CNIL vient d’infliger 15 000 euros d’amende au contrevenant. Signe que la mansuétude, en la matière, n’est plus de mise.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a accentué, ces derniers mois, ses opérations de contrôle et la mise en place de sanctions : la dernière société visée est Allocab, le service de VTC (Voiture de Transport avec Chauffeur), qui a contrevenu aux réglementations sur la protection des données personnelles.

Mise en demeure après un premier contrôle

L’alerte a été lancée en 2015 par un usager, qui a provoqué un contrôle de la CNIL dans les locaux d’Allocab : sur place, de nombreuses entorses à la loi « Informatique et Liberté » ont été recensées, notamment une absence de définition de la durée de conservation des données, une conservation des cryptogrammes de cartes bancaires au-delà de la durée nécessaire ou une absence de suppression des données de clients souhaitant mettre un terme à leur compte Allocab.

Suite à ce contrôle, une mise en demeure de se mettre en conformité a été transmise à Allocab. Il faut alors plusieurs échanges de courrier pour que la société finisse par indiquer qu’elle avait fait le nécessaire.

Les manquements persistent, la sanction tombe

Las, au terme d’un second contrôle, « il s’est avéré que plusieurs des mesures annoncées par la société n’étaient pas mises en œuvre : des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système d’information et la sécurité des données n’était pas suffisamment assurée (acceptation de mots de passe d’un seul caractère, transmission en clair des identifiants et mots de passe, etc.). » souligne la CNIL.

Devant ces manquements, la CNIL décide de sanctionner Allocab d’une amende de 15 000 euros, une somme qui peut sembler modique, mais qui s’explique par le fait qu’au jour de la séance de la formation restreinte, établie par contrat d’huissier, Allocab avait cessé ses manquements.

Mais dans un an, au moment d’entrée en vigueur du GDPR (Règlement Européen sur la Protection des Données), de tels manquements entraîneront des sanctions beaucoup plus lourdes : les amendes prévues par cette loi européenne peuvent atteindre jusqu’à 4% du chiffre d’affaire de la société.