Données clients : Darty épinglé par la CNIL
La Commission nationale informatique et libertés (CNIL) a prononcé une sanction de 100 000 euros à l'encontre de Darty. Le groupe de distribution de produits d'électroménager et de matériel high-tech (qui s'est rapproché de la FNAC) se voit reprocher de « ne pas avoir suffisamment sécurisé les données de clients ».
Une défaillance de sécurité du formulaire en ligne de demande de service après-vente de Darty est en cause.
Celle-ci permettait « d'accéder librement à l'ensemble des demandes et des données renseignées par les clients », indique la CNIL dans un communiqué. Comme l'avait constaté Zataz dès le début de l'année dernière.
Alertée par le site média spécialisé dans les failles de sécurité, la Commission a procédé à un contrôle en date du 2 mars 2017.
« Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles », a précisé la CNIL.
Lire aussi : Vol de données : Marriott va payer 52 millions $
Darty responsable du traitement de données
Contacté par la CNIL, le groupe de distribution a tardé à réagir. Un deuxième contrôle est effectué le 15 mars 2017.
Or « les fiches des clients étaient toujours accessibles et de nouvelles fiches avaient été créées » entre les deux procédures de contrôles. Néanmoins, la prise de conscience s'accélère. « Le soir même du second contrôle, la société informait [la CNIL] des mesures prises pour remédier à cet incident . »
Le formulaire de demande de service après-vente, à l'origine du défaut de sécurité, n'a pas été développé par Darty. Mais par un prestataire sous-traitant. Une situation qui « ne décharge pas [Darty] de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement », a insisté la CNIL.
En outre, Darty « aurait dû s'assurer préalablement que les règles de paramétrage de l'outil mis en oeuvre pour son compte ne permettaient pas à des tiers non autorisés d'accéder aux données des clients ».
Lire aussi : RGPD : LinkedIn écope d'une amende de 310 millions €
Mais le dossier n'est pas uniquement à charge. La CNIL met en exergue « la bonne coopération » de l'entreprise avec ses services sur ce dossier.
Par ailleurs, l'autorité administrative déclare avoir tenu compte « de l'initiative du responsable de traitement de diligenter un audit de sécurité » après cette atteinte.
Lire également :
Télégrammes : Le PIA de la Cnil pour le RGPD.
Gestion des mots de passe : la CNIL durcit ses préconisations (tribune)
(crédit photo © Shutterstock.com)
Sur le même thème
Voir tous les articles Cybersécurité