En octobre 2016, un incident de sécurité a entrainé une violation de données personnelles sur le site « www.cartereduction-hertz.com« .
Lors dun contrôle en ligne, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que les mesures garantissant la sécurité et la confidentialité des données des adhérents au programme de réduction de la société étaient insuffisantes : ses agents ont pu accéder librement, à partir dune adresse URL, aux données personnelles renseignées par 35.357 personnes inscrites sur le site.
Prévenue par la Commission, la société a alors alerté son sous-traitant en charge du développement du site, qui a immédiatement pris les mesures nécessaires permettant de mettre fin à la violation de données.
Au cours dinvestigations complémentaires réalisées dans les locaux de la société et chez son sous-traitant, la Cnil a appris que la violation de données était la conséquence dune erreur commise par le prestataire lors dune opération de changement de serveur : la suppression accidentelle dune ligne de code avait entrainé le réaffichage des formulaires remplis par les adhérents au programme de réduction.
Par une délibération du 18 juillet 2017, la formation restreinte de la Cnil a prononcé une sanction pécuniaire dun montant de 40.000 , estimant que la société avait manqué à son obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à larticle 34 de la loi Informatique et Libertés.
La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission.