Pour gérer vos consentements :

Données clients : Darty épinglé par la CNIL

La Commission nationale informatique et libertés (CNIL) a prononcé une sanction de 100 000 euros à l’encontre de Darty. Le groupe de distribution de produits d’électroménager et de matériel high-tech (qui s’est rapproché de la FNAC) se voit reprocher de « ne pas avoir suffisamment sécurisé les données de clients ».

Une défaillance de sécurité du formulaire en ligne de demande de service après-vente de Darty est en cause.

Celle-ci permettait « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients », indique la CNIL dans un communiqué. Comme l’avait constaté Zataz dès le début de l’année dernière.

Alertée par le site média spécialisé dans les failles de sécurité, la Commission a procédé à un contrôle en date du 2 mars 2017.

« Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles », a précisé la CNIL.

Darty responsable du traitement de données

Contacté par la CNIL, le groupe de distribution a tardé à réagir. Un deuxième contrôle est effectué le 15 mars 2017.

Or « les fiches des clients étaient toujours accessibles et de nouvelles fiches avaient été créées » entre les deux procédures de contrôles. Néanmoins, la prise de conscience s’accélère. « Le soir même du second contrôle, la société informait [la CNIL] des mesures prises pour remédier à cet incident . »

Le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, n’a pas été développé par Darty. Mais par un prestataire sous-traitant.  Une situation qui « ne décharge pas [Darty] de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement », a insisté la CNIL.

En outre, Darty « aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients ».

Mais le dossier n’est pas uniquement à charge. La CNIL met en exergue « la bonne coopération » de l’entreprise avec ses services sur ce dossier.

Par ailleurs, l’autorité administrative déclare avoir tenu compte « de l’initiative du responsable de traitement de diligenter un audit de sécurité » après cette atteinte.

Lire également :

Télégrammes : Le PIA de la Cnil pour le RGPD…

Gestion des mots de passe : la CNIL durcit ses préconisations (tribune)

(crédit photo © Shutterstock.com)

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

7 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

11 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

13 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago