Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Darty condamné à 100 000 euros pour défaut de protection des données de clients

Twitter Facebook Linkedin Google + Email
×

La CNIL a condamné Darty à payer 100 000 euros pour ne pas avoir fait le nécessaire pour sécuriser les données des clients. La CNIL estime notamment que recourir à un sous-traitant ne dispense pas l'entreprise de ses obligations dans certains contextes. La décision est rendue publique par la CNIL pour sensibiliser les utilisateurs. Et aussi les entreprises qui sont prévenues.

Darty condamné à 100 000 euros pour défaut de protection des données de clients
Darty condamné à 100 000 euros pour défaut de protection des données de clients © Capture d'écran YouTube

La Commission nationale Informatique et libertés (Cnil) réunie en formation restreinte a condamné la société Darty à 100 000 euros d'amende pour ne pas avoir suffisamment protégé les données des visiteurs de son site Internet.

 

fuite de données

Rappel des faits : en mars 2017, les équipes de la Cnil constatent l’existence d’une faille de sécurité sur le site Internet de Darty. Il était possible d’accéder à "l’ensemble des demandes et des données renseignées (sic) par les clients de la société, via un formulaire en ligne de demande de service après-vente", indique la Cnil dans un communiqué. Parmi les informations ainsi accessibles figuraient les noms, prénoms, adresses postale et de messagerie ainsi que les numéros de téléphone des clients.

 

Lors du contrôle, les équipes de la Cnil constatent que le logiciel fautif a été développé par un prestataire extérieur. De son côté, "la société établissements Darty et fils a indiqué avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident" indique toujours la Cnil. Ses enquêteurs remarquent cependant que les fonctionnalités du logiciel en cause, en raison desquelles la faille existe, n’ont pas été désactivées, pas plus que n’a été mis en place par le prestataire un filtrage des adresses URL des visiteurs, une mesure qui aurait pu "empêcher à des tiers non autorisés d’accéder aux données des clients contenues dans l’outil de gestion des demandes de service après-vente."

 

une réaction trop lente ?

Enfin, les experts de la Cnil ont observé que la société n’a pas agi entre les deux visites de ses experts. Pis, de nouvelles fiches avaient été créées pendant ce laps de temps. Ce n’est qu’au soir du deuxième contrôle que les établissements Darty et fils indiquaient à la Cnil les mesures prises "pour remédier à cet incident."

 

C’est, pour ces raisons, que la Cnil réunie en formation restreinte a condamné la société à 100 000 euros pour un manque à son obligation de sécurité des données personnelles. Elle a estimé que faire appel à un sous-traitant ne délestait pas l’entreprise de son obligation de préserver la sécurité des données traitées pour son compte. "Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information", précise le communiqué de la Cnil. Aussi, la formation restreinte a considéré "qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires."

 

Bonne volonté de l'entreprise pendant l'enquête

Ceci étant, la Cnil a tenu compte de la bonne volonté de l’entreprise dans sa décision, reconnaissant que le responsable du traitement avait lancé un audit de sécurité et avait bien coopéré avec les enquêteurs de la Cnil. Cette dernière a décidé de rendre publique sa décision, notamment en raison du contexte actuel "dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données." Même si la Cnil ne le dit pas expressément, c’est aussi un moyen d’informer les entreprises de leurs devoirs.  

 

Toutefois, la décision sera rendue anonyme dans deux ans. Darty de son côté dispose de deux mois pour déposer un recours devant le Conseil d’Etat.
 

Lire l'intégralité de la délibération ICI

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale