Darty sanctionné par la CNIL, pour « atteinte à la sécurité des données clients »
Darty sanctionné par la CNIL, pour « atteinte à la sécurité des données clients »
Les données des personnes ayant fait appel, par Internet, au service après-vente de Darty étaient librement accessibles.
Un formulaire mal sécurisé rendait accessibles les données de certains clients sur Internet. / KENZO TRIBOUILLARD / AFP
Cent mille euros. C’est la sanction que la Commission nationale informatique et libertés (CNIL) a infligé, mardi 9 janvier, à Darty, « pour ne pas avoir suffisamment sécurisé les données de clients ». Dans un communiqué, le gendarme de la vie privée déplore un défaut de sécurité du formulaire permettant au client de contacter, en ligne, le service après-vente de Darty. Ce qui rendait possible « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients ».
« Plusieurs centaines de milliers de demandes ou réclamations contenant des données, telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. »
En février, le site spécialisé Zataz avait remarqué qu’en modifiant l’adresse Internet reçue de Darty pour le suivi d’une demande adressée au service après-vente, il était possible d’accéder à toutes les autres demandes – et donc aux informations personnelles de leurs auteurs. Il avertit la CNIL, qui procède à un contrôle en ligne le 2 mars. Près d’un million de fiches de demande au service client étaient alors accessibles, selon les constatations de la Commission.
Manque de réactivité
Dans son communiqué, cette dernière regrette le manque de réactivité de l’enseigne d’électroménager : après avoir constaté la défaillance et informé l’entreprise du problème, elle a pu constater lors d’un second contrôle effectué le 15 mars que « les fiches des clients étaient toujours accessibles (…) et que de nouvelles fiches avaient été créées dans ce laps de temps ». Avant de préciser que « le soir même du second contrôle, la société informait [la CNIL] des mesures prises pour remédier à cet incident ».
Le formulaire problématique n’a pas été développé par Darty, mais par un prestataire. Ce qui, souligne la CNIL, « ne décharge pas [Darty] de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients ».
La Commission aurait pu décider de garder la sanction secrète. Elle a décidé de la rendre publique afin de « sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données », explique-t-elle dans le compte rendu de la séance lors de laquelle elle a décidé de sanctionner l’entreprise. La CNIL dit toutefois avoir pris en compte « l’initiative du responsable de traitement de diligenter un audit de sécurité » et « sa bonne coopération avec les services de la CNIL ».