Suite à une plainte adressée à la commission nationale de lInformatique et des libertés (Cnil) par un client dune société de transport de particuliers, un contrôle a été effectué au sein de ses locaux et plusieurs manquements à la loi Informatique et Libertés ont été constatés.
La Présidente de la Cnil a alors adressé, le 10 novembre 2015, une mise en demeure à la société de définir une durée de conservation des données, de ne pas conserver celles relatives aux cryptogrammes des cartes bancaires au-delà du temps nécessaire à la transaction, de procéder à la purge des données des clients ayant demandé la suppression de leurs comptes et de prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données des utilisateurs du site.
Un second contrôle sur place a été effectué et a révélé que plusieurs des mesures annoncées par la société navaient pas été mises en uvre puisque des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système dinformation et la sécurité des données nétait pas suffisamment assurée.
Par une délibération du 13 avril 2017, la formation restreinte de la Cnil estime que les manquements à lobligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement, et dassurer la sécurité et la confidentialité des données, ont persisté au-delà du délai de trois mois accordé à la société.
Nonobstant plusieurs dysfonctionnements techniques ayant conduit au maintien des manquements, dont la société fait état, la formation restreinte considère quen labsence déléments attestant de ces derniers, et compte tenu de la persistance de manquements à la loi, une sanction apparait justifiée.
La Cnil sanctionne ainsi la société à une amende de 15.000 , décision rendue publique afin de sensibiliser les responsables de traitement quant à leurs obligations, notamment la nécessité dadopter des mesures effectives en cas de mise en demeure.