Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DARTY : sanction pécuniaire pour une atteinte à la sécurité des données clients

janvier 2018 par CNIL

La formation restreinte de la CNIL prononce une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.

En février 2017, la CNIL a été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de la société ETABLISSEMENTS DARTY ET FILS.

Lors d’un contrôle en ligne réalisé début mars 2017 les équipes de la CNIL ont pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles.

Le contrôle sur place réalisé quinze jours plus tard a révélé que le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par un prestataire commercialisant un logiciel de service après-vente « sur étagère ». Lors du contrôle, la société ETABLISSEMENTS DARTY ET FILS a indiqué avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident.

Les vérifications opérées par la CNIL ont pourtant permis de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n’avaient pas été désactivées. Elles ont également révélé que le prestataire n’avait pas mis en place de filtrage des adresses URLs, qui aurait permis d’empêcher à des tiers non autorisés d’accéder aux données des clients contenues dans l’outil de gestion des demandes de service après-vente via le formulaire défectueux.

Alors même qu’elle avait informé la société de cet incident de sécurité, la CNIL a constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps. Le soir même du second contrôle, la société l’informait des mesures prises pour remédier à cet incident.

La Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société ETABLISSEMENTS DARTY ET FILS.

La formation restreinte de la CNIL a prononcé une sanction d’un montant de 100.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

La formation restreinte a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.

Par ailleurs, en sa qualité de responsable de traitement, la société aurait dû procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente. A ce titre, la formation restreinte a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La formation restreinte a néanmoins tenu compte notamment de l’initiative du responsable de traitement de diligenter un audit de sécurité après cette atteinte à la sécurité des données ainsi que de sa bonne coopération avec les services de la CNIL.

Recommandations pour les professionnels :

1. Le guide sécurité en vue de la préparation au Réglement général de protection des données (RGPD) et le logiciel mis à disposition par la CNIL pour réaliser ses analyses d’impact sur la protection des données (nouveauté RGPD)
2. le guide des sous-traitants en vue du RGPD ; pour rappel, les sous-traitants seront désormais co-responsables vis à vis de la loi Informatique et Libertés de 1978
3. Commerce et données personnelles : 5 fiches pratiques pour connaître ses droits et obligations
— 

Sécurité des données La CNIL sera au Forum international de la cybersécurité à Lille les 23 et 24 janvier 2018.

Aller plus loin sur le RGPD qui entre en application le 25 mai 2018 pour tous les pays membres de l’Union Européenne :
1. Ce qui change pour les professionnels
2. Ce qui change pour les citoyens et consommateurs




Voir les articles précédents

    

Voir les articles suivants