Données clients : Darty épinglé par la CNIL

cnil-controle-darty

Darty s’est vu infliger une sanction de 100 000 euros par la CNIL « pour ne pas avoir suffisamment sécurisé les données de clients » en ligne.

La Commission nationale informatique et libertés (CNIL) a prononcé une sanction de 100 000 euros à l’encontre de Darty. Le groupe de distribution de produits d’électroménager et de matériel high-tech (qui s’est rapproché de la FNAC) se voit reprocher de « ne pas avoir suffisamment sécurisé les données de clients ».

Une défaillance de sécurité du formulaire en ligne de demande de service après-vente de Darty est en cause.

Celle-ci permettait « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients », indique la CNIL dans un communiqué. Comme l’avait constaté Zataz dès le début de l’année dernière.

Alertée par le site média spécialisé dans les failles de sécurité, la Commission a procédé à un contrôle en date du 2 mars 2017.

« Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles », a précisé la CNIL.

Darty responsable du traitement de données

Contacté par la CNIL, le groupe de distribution a tardé à réagir. Un deuxième contrôle est effectué le 15 mars 2017.

Or « les fiches des clients étaient toujours accessibles et de nouvelles fiches avaient été créées » entre les deux procédures de contrôles. Néanmoins, la prise de conscience s’accélère. « Le soir même du second contrôle, la société informait [la CNIL] des mesures prises pour remédier à cet incident . »

Le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, n’a pas été développé par Darty. Mais par un prestataire sous-traitant.  Une situation qui « ne décharge pas [Darty] de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement », a insisté la CNIL.

En outre, Darty « aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients ».

Mais le dossier n’est pas uniquement à charge. La CNIL met en exergue « la bonne coopération » de l’entreprise avec ses services sur ce dossier.

Par ailleurs, l’autorité administrative déclare avoir tenu compte « de l’initiative du responsable de traitement de diligenter un audit de sécurité » après cette atteinte.

Lire également :

Télégrammes : Le PIA de la Cnil pour le RGPD…

Gestion des mots de passe : la CNIL durcit ses préconisations (tribune)

(crédit photo © Shutterstock.com)