Pointé du doigt par la CNIL, qui lui a adressé un avertissement public pour une faille dans la sécurisation des données personnelles collectées par son site Web, le spécialiste de l’apéritif anisé Ricard a, pour sa défense, expliqué avoir rempli son obligation de moyens, en faisant appel à des professionnels reconnus pour l’hébergement et la gestion de contenus. Un argument qui n’avait pas suffi à radoucir la Commission nationale de l’informatique et des libertés, qui rappelait, dans sa délibération, « qu’en vertu de l’article 35 de la loi Informatique et Libertés, l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte. »
La rédaction de Silicon.fr a toutefois contacté l’hébergeur de Ricard, la société Jaguar Network. Son responsable de la sécurité des systèmes d’information indique que les failles mises en évidence par la CNIL « sont issues de livraisons applicatives successives » et « n’impliquent pas le socle d’hébergement ». Bref, selon Aurélien Leicknam, « les erreurs de configuration qui ont donné lieu à l’exposition de données sensibles ne relèvent en rien d’un paramétrage du socle d’infrastructure ». Le prestataire explique que sa responsabilité se limite au maintien à jour de l’infrastructure d’exécution, et ne s’étend pas à la maintenance des développements métier de ses clients.
Autrement dit, les défauts de sécurisation mis en évidence par la CNIL trouveraient leur origine dans des erreurs commises par Ricard ou par son éventuel prestataire de gestion de contenus. Signalons que le nom d’un éventuel sous-traitant de ce type ne figure pas dans les mentions légales du site Ricard.com.
Rappelons que l’inspection de la Commission a permis de montrer que certains répertoires, où étaient stockés plus de 1 000 fichiers contenant des données à caractère personnel, étaient librement accessibles sur le Web. Il suffisait, pour ce faire, d’entrer les URL répertoriées dans le fichier « robots.txt » du site Web, fichier indiquant aux moteurs de recherche les pages à exclure de leur indexation. Les premières mesures de sécurisation prises par Ricard se sont révélées insuffisantes, les répertoires litigieux n’étant certes plus accessibles, mais les fichiers renfermant les données personnelles le demeurant (pour peu qu’on en connaisse l’URL). La société a depuis entièrement comblé ces failles.
A lire aussi :
Protection des données : la Cnil tape sur les doigts de Numericable
Loi Lemaire : la CNIL va-t-elle pouvoir montrer les crocs ?
Données de santé : la Cour des comptes pointe la frilosité de la CNIL
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.