En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Agence Design pour une association dans le développement d’activités économiques innovantes
    23 350 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter fait main
    < 1 800 €
    > En savoir plus
  • Création d'un site E-commerce dans la vente de café
    2000 €
    > En savoir plus
GlobalK_GDPR _leaderboard

Sécurité des données clients : la CNIL inflige une sanction de 100 000 € à Darty

DG_roomn2018_pavé

La CNIL prononce une sanction de 100 000 euros à l’encontre de Darty pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.

A la suite d’un incident de sécurité en février dernier concernant le traitement des demandes de service après-vente des clients de l’enseigne, la Commission nationale de l’informatique et des libertés effectue un contrôle en ligne début mars et peut « constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente« . Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles, indique l’organisme. Un contrôle sur place réalisé quinze jours plus tard révèle que le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, a été développé par un prestataire commercialisant un logiciel de service après-vente « sur étagère ». Lors du contrôle, Darty indique avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident. Mais les vérifications opérées par la CNIL permettent pourtant de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n’ont pas été désactivées. Elles montrent également que le prestataire n’a pas mis en place de filtrage des adresses URL, qui aurait permis d’empêcher à des tiers non autorisés d’accéder aux données des clients contenues dans l’outil de gestion des demandes de service après-vente via le formulaire défectueux.

Darty, responsable du traitement des données

Alors même qu’elle avait informé la société de cet incident de sécurité, la CNIL a constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps.
L’ensemble de ces faits a donc conduit la Cnil à prononcer une sanction d’un montant de 100 000 euros, estimant que la société avait manqué « à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés. » La Cnil rappelle que « le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. » A charge de Darty de « s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients« . Cette vérification préalable d’absence de vulnérabilité fait partie des « tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information« , ajoute la Cnil. Et de rappeler « qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires. »

La Cnil a tenu à souligner toutefois l’initiative du responsable de traitement de diligenter un audit de sécurité après cette atteinte à la sécurité des données ainsi que de sa bonne coopération avec ses services. « Le prestataire a mis en œuvre, à l’insu de Darty, une fonctionnalité de l’application que Darty n’avait pas sollicitée et n’a donc pas utilisée », a réagi un porte-parole du groupe Fnac Darty auprès de l’AFP. La « potentielle faille de sécurité » que comportait cette fonctionnalité, a
depuis été « corrigée par le prestataire« , a-t-il encore affirmé. « Dans ces conditions et alors que la Cnil n’a constaté aucune fuite de données, nous nous étonnons de cette décision et nous réservons nos droits au titre d’un éventuel recours » devant le conseil d’Etat, a ajouté le porte-parole.

En juillet dernier, la Cnil avait condamné la société Hertz à 40 000 euros  pour manquement à son obligation de sécurité des données dans le cadre d’une relation de sous-traitance

Auteur : Juliette Paoli

Sécurité des données clients : la CNIL inflige une sanction de 100 000 € à Darty
Notez cet article

Laisser un commentaire

L’intelligence Artificielle, une vraie rupture en Cybersécurité

L'IA ne révolutionne pas seulement la perception de la cybersécurité au coeur des entreprises, elle redéfinit les règles du jeu pour l'ensemble des acteurs de la sécurité. Découvrez le livre blanc de 30 pages de iTrust

Découvrez le livre blanc de 30 pages de iTrust

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Un adolescent britannique poursuivi pour avoir piraté le compte d'un ex-chef de la CIA

    Un adolescent britannique ayant réussi à pirater les comptes de plusieurs responsables américains du Renseignement…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Sur site ou dans le Cloud : 5 conseils pour protéger les environnements Office 365 et hybrides

    Christophe Badot, directeur général France Varonis, fait le consultant pour les lecteurs de Solutions Numériques…

    > En savoir plus...
Etudes/Enquêtes
  • L'utilisation des malwares contre les entreprises a augmenté de 90 %

    Les ransomwares sont devenus les outils de prédilection des cybercriminels, selon un rapport de Malwarebytes,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
Ixia_RGPD_skycraper