La CNIL a prononcé une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.
En février 2017, la CNIL a été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de Darty.
Lors d’un contrôle en ligne réalisé début mars 2017 les équipes de la CNIL ont pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente.
Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles.
La CNIL a prononcé une sanction d’un montant de 100.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.
Elle a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.
La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.
« Darty est loin d’être un cas isolé et la décision de la CNIL doit servir de signal d’alarme, commente . Arnaud Gallut, directeur commercial France & Europe du Sud de Ping Identity. Aujourd’hui, les pouvoirs publics partout dans le monde, portés par une demande croissance de leurs citoyens, font évoluer les législations en faveur d’une utilisation mesurée, responsable, et surtout maîtrisée, des données personnelles. Le Règlement Général Européen sur la Protection des Données illustre parfaitement cette volonté.
Cette prise de conscience est une évolution nécessaire et inévitable mais elle représente un véritable bouleversement pour les entreprises, et elles sont nombreuses, qui avaient l’habitude de collecter et traiter des informations personnelles en dehors de toute politique de gouvernance des données. Elles deviennent maintenant responsables légalement du traitement des données de leurs clients, sans toujours savoir précisément quel volume est collecté, ni comment et par qui, ni où ces données sont stockées et encore moins qui y a accès. Pour elles, le GDPR est un défi à la fois légal, financier, technologique et culturel. »