Sanction pécuniaire de 100.000 euros pour Darty — Données personnelles

Darty sanctionné par la CNIL pour une faille chez un prestataire SaaS

Darty a écopé d’une amende de 100 000 euros infligée par la CNIL

Le distributeur a été sanctionné par la Cnil de 100.000 euros d'amende pour avoir exposé imprudemment les données de ses clients ayant effectué une demande en ligne de service après-vente (SAV).

La faille de sécurité était en rapport avec un formulaire développé par un prestataire commercialisant un logiciel de service après-vente.

Lors du contrôle en ligne réalisé en mars 2017, une délégation de la CNIL alertée visiblement par Zataz a constaté qu'après avoir rempli un formulaire de service après-vente, le site officiel produisait un lien hypertexte "correspondant au numéro d'enregistrement de la demande".

Racheté par Fnac en avril 2017, Darty a depuis croiser les données de ses clients avec l'enseigne culturelle, mais avec leur accord. De son côté, "la société établissements Darty et fils a indiqué avoir recours à un autre formulaire distinct et ne pas utiliser celui à l'origine de l'incident" indique toujours la Cnil.

Mais il y a un problème: la CNIL dit avoir fait des vérifications qui permis de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n'avaient pas été désactivées. Cette sanction a été rendue publique par la CNIL, qui peut décider d'afficher publiquement les sanctions quelle inflige aux sociétés afin de pousser les responsables à prendre des mesures en matière de protection des données (et dans le même temps générer un bon bad buzz pour le condamné).

C'est, pour ces raisons, que la Cnil réunie en formation restreinte a condamné la société à 100 000 euros pour un manque à son obligation de sécurité des données personnelles. Pour la Cnil, cela ne décharge pas Darty de son " obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. Ce qui rendait possible " d'accéder librement à l'ensemble des demandes et des données renseignées par les clients ". "Cette vérification préalable d'absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d'information ", ajoute-t-elle.

Darty, le spécialiste de l'électroménager, s'est vu reprocher une mauvaise sécurisation de l'interface client dédiée au service après-vente.

Sécurité des données La CNIL sera au Forum international de la cybersécurité à Lille les 23 et 24 janvier 2018.

Dernières nouvelles