Protection des données : la Cnil sanctionne Darty
Publié le 9 janvier 2018 à 18:59 Aujourd'hui
La Commission nationale de l’informatique et des libertés (Cnil) a annoncé mardi 9 janvier avait infligé une amende de 100 000 euros à Darty (groupe Fnac Darty) pour ne pas avoir assez protégé les données de certains clients du service après-vente.
L’année 2018 commence mal pour Darty. Ce mardi 9 janvier, la Commission nationale de l’informatique et des libertés a annoncé avoir infligé une amende de 100 000 euros à la société pour « ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente », explique la Cnil dans un communiqué.
Informée en février 2017 d’une faille de sécurité, la Cnil avait effectué un contrôle en ligne le mois suivant. Lors de ce dernier, elle a pu constater qu’une « défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente». Les équipes de la Cnil ont découvert que « plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles ».
Un manque de réactivité
Mi-mars, la Cnil avait réalisé un autre contrôle dans les bureaux de l’enseigne. Ce contrôle complémentaire avait révélé que le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par un prestataire extérieur. La société Etablissements Darty et Fils avait à ce moment indiqué « avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident ». Pourtant, après vérifications, la Cnil a constaté que les fonctionnalités du logiciel rendant accessibles le formulaire en cause n’avaient pas été désactivées. Alors qu’elle avait alerté Darty, le gendarme de la vie privée précise également avoir « constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle ». Pire, « de nouvelles fiches avaient été créées dans ce laps de temps ». Ce n’est que le soir du second contrôle que la société a indiqué à la Cnil les « mesures prises pour remédier à cet incident ».
Le formulaire a certes été développé par un sous-traitant, mais pour la Cnil, cela ne décharge pas Darty « de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement ». « La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients », précise-t-elle. « Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information », ajoute-t-elle. La Cnil souligne toutefois avoir pris en compte « l’initiative du responsable de traitement de diligenter un audit de sécurité » et « sa bonne coopération avec les services de la Cnil ». « À ce stade, nous nous réservons le droit de déposer un recours devant le conseil d’État », a indiqué un porte-parole du groupe Fnac Darty à l’AFP.
