La Commission nationale informatique et libertés (CNIL) a prononcé une sanction de 100 000 euros à l’encontre de Darty. Le groupe de distribution de produits d’électroménager et de matériel high-tech (qui s’est rapproché de la FNAC) se voit reprocher de « ne pas avoir suffisamment sécurisé les données de clients ».
Une défaillance de sécurité du formulaire en ligne de demande de service après-vente de Darty est en cause.
Celle-ci permettait « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients », indique la CNIL dans un communiqué. Comme l’avait constaté Zataz dès le début de l’année dernière.
Alertée par le site média spécialisé dans les failles de sécurité, la Commission a procédé à un contrôle en date du 2 mars 2017.
« Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles », a précisé la CNIL.
Contacté par la CNIL, le groupe de distribution a tardé à réagir. Un deuxième contrôle est effectué le 15 mars 2017.
Or « les fiches des clients étaient toujours accessibles et de nouvelles fiches avaient été créées » entre les deux procédures de contrôles. Néanmoins, la prise de conscience s’accélère. « Le soir même du second contrôle, la société informait [la CNIL] des mesures prises pour remédier à cet incident . »
Le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, n’a pas été développé par Darty. Mais par un prestataire sous-traitant. Une situation qui « ne décharge pas [Darty] de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement », a insisté la CNIL.
En outre, Darty « aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients ».
Mais le dossier n’est pas uniquement à charge. La CNIL met en exergue « la bonne coopération » de l’entreprise avec ses services sur ce dossier.
Par ailleurs, l’autorité administrative déclare avoir tenu compte « de l’initiative du responsable de traitement de diligenter un audit de sécurité » après cette atteinte.
Lire également :
Télégrammes : Le PIA de la Cnil pour le RGPD…
Gestion des mots de passe : la CNIL durcit ses préconisations (tribune)
(crédit photo © Shutterstock.com)
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…