En 2016, la Commission nationale de l’informatique et des libertés (Cnil) a été informée de l’existence d’une violation de données à caractère personnel à partir du site de la société OUICAR, plateforme de location de véhicules entre particuliers.

Suite à la réalisation de deux missions de contrôle, la Cnil a constaté qu’il était possible d’accéder aux données de l’ensemble des utilisateurs du site en modifiant simplement dans l’Uniform ressource local (URL) la variable correspondant à l’identifiant de chaque utilisateur. Cet incident a duré près de trois ans et était lié à un défaut élémentaire de sécurité.

Le 20 juillet 2017, la Cnil a prononcé un avertissement à l’encontre de la société, estimant qu’elle avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés.
Les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, seul un avertissement était encouru par la société.