techredac
 

La CNIL sanctionne Darty pour atteinte à la sécurité des données clients


Rédigé le Mardi 9 Janvier 2018 à 19:50
Andrée Navarro



La CNIL, Commission nationale informatique et libertés a infligé ce 9 janvier à Darty une sanction de 100 000 euros « pour ne pas avoir suffisamment sécurisé les données de clients ». La CNIL déplore dans un communiqué un défaut de sécurité du formulaire permettant au client de contacter, en ligne, le service après-vente de Darty. Ce qui rendait possible « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients ».

Cette affaire a commencé en février dernier lorsque le site Zataz a remarqué qu’en modifiant l’adresse Internet reçue de Darty pour le suivi d’une demande adressée au service après-vente, il était possible d’accéder à toutes les autres demandes – et donc aux informations personnelles de leurs auteurs. Zataz a alerté la CNIL, qui a procédé à un contrôle en ligne le 2 mars. Il s'est alors avéré que près d’un million de fiches de demande au service client étaient effectivement accessibles.

La CNIL indique regretter le manque de réactivité de Darty qui, bien qu'étant informé de cette défaillance, n'a pas pris les mesures nécessaires puisque lors d’un second contrôle effectué le 15 mars « les fiches des clients étaient toujours accessibles (…) et que de nouvelles fiches avaient été créées dans ce laps de temps ». C'est seulement le soir du second contrôle que Darty a informé la CNIL des mesures prises pour remédier à cet incident.

Le formulaire controversé a été développé par un prestataire de Darty, ce qui, selonl a CNIL « ne décharge pas Darty de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients ».

La CNIL a décidé de rendre cette sanction publique afin de « sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données », mais précise toutefois avoir pris en compte «l’initiative du responsable de traitement de diligenter un audit de sécurité » et « sa bonne coopération avec les services de la CNIL ».




Dans la même rubrique :
< >

Mardi 11 Septembre 2018 - 16:41 CSA - 20 propositions pour s'adapter au numérique

Lundi 10 Septembre 2018 - 14:42 Ou en est-on de la taxation des GAFA ?