Cent mille euros. C’est la sanction que la Commission nationale informatique et libertés (CNIL) a infligé, mardi 9 janvier, à Darty, « pour ne pas avoir suffisamment sécurisé les données de clients ». Dans un communiqué, le gendarme de la vie privée déplore un défaut de sécurité du formulaire permettant au client de contacter, en ligne, le service après-vente de Darty. Ce qui rendait possible « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients ».
« Plusieurs centaines de milliers de demandes ou réclamations contenant des données, telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. »
En février, le site spécialisé Zataz avait remarqué qu’en modifiant l’adresse Internet reçue de Darty pour le suivi d’une demande adressée au service après-vente, il était possible d’accéder à toutes les autres demandes – et donc aux informations personnelles de leurs auteurs. Il avertit la CNIL, qui procède à un contrôle en ligne le 2 mars. Près d’un million de fiches de demande au service client étaient alors accessibles, selon les constatations de la Commission.
Manque de réactivité
Dans son communiqué, cette dernière regrette le manque de réactivité de l’enseigne d’électroménager : après avoir constaté la défaillance et informé l’entreprise du problème, elle a pu constater lors d’un second contrôle effectué le 15 mars que « les fiches des clients étaient toujours accessibles (…) et que de nouvelles fiches avaient été créées dans ce laps de temps ». Avant de préciser que « le soir même du second contrôle, la société informait [la CNIL] des mesures prises pour remédier à cet incident ».
Le formulaire problématique n’a pas été développé par Darty, mais par un prestataire. Ce qui, souligne la CNIL, « ne décharge pas [Darty] de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients ».
Darty répond
La Commission aurait pu décider de garder la sanction secrète. Elle a décidé de la rendre publique afin de « sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données », explique-t-elle dans le compte rendu de la séance lors de laquelle elle a décidé de sanctionner l’entreprise. La CNIL dit toutefois avoir pris en compte « l’initiative du responsable de traitement de diligenter un audit de sécurité » et « sa bonne coopération avec les services de la CNIL ».
De son côté, Darty a réagi vendredi dans un communiqué. « Nous nous étonnons de cette décision et nous réservons nos droits au titre d’un éventuel recours », écrit Darty, qui souligne que « la CNIL n’a constaté aucune fuite de données ». L’entreprise rappelle avoir « utilisé une solution logicielle fournie par un prestataire tiers (reconnu du marché et par ailleurs prestataire de la CNIL) ». Et assure que « le prestataire a mis en œuvre, à l’insu de Darty, une fonctionnalité de l’application que Darty n’avait pas sollicitée et n’a donc pas été utilisée ». La CNIL avait déjà répondu sur ce point : « Les vérifications opérées par la CNIL ont pourtant permis de constater que les fonctionnalités du logiciel, rendant accessible le formulaire développé par son prestataire, n’avaient pas été désactivées. »
Voir les contributions
Réutiliser ce contenu
