La CNIL a indiqué hier, jeudi 19 juin, avoir sanctionné la société DHL en raison d’un défaut de sécurité ayant affecté la confidentialité de plusieurs centaines de milliers de fiches de clients.
Alertée sur une potentielle faille de sécurité affectant les données des clients de la société DHL, la CNIL a effectué un contrôle chez le transporteur le 19 février dernier. Résultat des investigations : 684 778 fiches clients de la société, qui sollicitaient la « relivraison » de leur colis, étaient librement accessibles sur Internet. La Commission vient de le révéler, car elle estime que le « nombre de personnes concernées » et « la nature des données rendues librement accessibles » le justifient.
Qu’indiquent ces fiches ? L’identité, l’adresse, les numéros de téléphone et les adresses électroniques des personnes concernées ainsi que certaines informations détaillées permettant de faciliter la livraison des colis, telles que les indisponibilités pour raisons de santé ou la sécurisation des accès aux logements. Un ensemble de données à caractères très confidentiels.
Malgré les mesures correctives rendant inaccessibles les données litigieuses adoptées par DHL le 28 février, les faits constatés ont conduit la Cnil « à initier une procédure de sanction qui s’est conclue, le 12 juin dernier, par le prononcé d’un avertissement public à l’encontre de la société. »
La Commission justifie sa sanction pour trois raisons. D’abord, parce que tout-un-chacun pouvait accéder à ces milliers de données du fait de leur référencement dans un moteur de recherche. Ensuite, parce que l’entreprise, malgré la connaissance de cette faille affectant les accès internes de l’application litigieuse, n’avait pris aucune mesure pour isoler cette fuite. Enfin, parce que DHL n’avait pas défini de durée de conservation de ces fiches clients – les plus anciennes datant de 2007.
