Service après-vente en ligne non sécurisé : DARTY condamné par la CNIL à 100.000 € d’amende !

Délibération de la CNIL n°SAN-2018-001 du 8 janvier 2018

La CNIL a prononcé une sanction de 100.000 euros à l’encontre de la société DARTY pour manquement à son obligation de sécurité.

Ce qu’il faut retenir : La CNIL a prononcé une sanction de 100.000 euros à l’encontre de la société DARTY pour manquement à son obligation de sécurité. En effet, à la suite d’une alerte puis d’un contrôle de vérification en ligne, la CNIL a constaté qu’une faille de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente.

Pour approfondir : Le 27 février 2017, l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information a informé les services de CNIL qu’une violation de données à caractère personnel à partir de l’URL http://darty.epticahosting.com/selfdarty/register.do permettrait d’accéder à plusieurs milliers de données de clients de la société.

La CNIL a alors procédé à des missions de contrôle en ligne et sur place au sein des locaux de la société DARTY.

A l’occasion du contrôle en ligne, la CNIL a constaté que l’URL en cause renvoyait vers un formulaire permettant aux clients de la société de déposer une demande de service après-vente. Une fois le formulaire obligatoirement renseigné d’une adresse électronique et d’un mot de passe, un lien hypertexte correspondant au numéro d’enregistrement de la demande permettait d’accéder à son suivi. La délégation a constaté que cet identifiant était contenu dans l’adresse URL. En modifiant le numéro d’identifiant dans cette adresse URL, les fiches de demande de service après-vente remplies par d’autres clients de la société devenaient accessibles.

Lors du contrôle sur place effectué au sein des locaux de DARTY, la CNIL a constaté que DARTY utilisait pour la gestion des demandes de service après-vente de ses clients un outil fourni par son sous-traitant, la société EPTICA.

Ce logiciel de service après-vente était alimenté par trois sources :

  • le formulaire de demande de service après-vente accessible depuis le site de la société, www.darty.com ;
  • les demandes adressées par courrier électronique à une adresse dédiée ;
  • le formulaire accessible depuis l’URL litigieuse.

Ce dernier formulaire, a l’origine de la violation des données correspond au formulaire natif développé et commercialisé par la société EPTICA dans sa solution de gestion des demandes de service après-vente et pour lequel la société EPTICA n’avait pas mis en place de filtrage des adresses URLs.

DARTY a précisé qu’elle ne l’utilisait pas et qu’il n’aurait pas dû être accessible.

Pourtant, lors du contrôle fait par la CNIL, il a été constaté que les fonctionnalités du logiciel rendant accessible ce formulaire n’avaient pas été désactivées.

A ce titre, la CNIL a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

Par ailleurs, il était évident que le sous-traitant de DARTY ne présentait pas un niveau de sécurité adéquat. Le simple fait que DARTY fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

Dès lors, DARTY aurait dû s’assurer préalablement à l’utilisation du logiciel de service après-vente, que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

L’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information selon la CNIL.

Dans la mesure où des fiches des clients étaient toujours accessibles entre le premier et le second contrôle de la CNIL et que de nouvelles fiches avaient été créées dans ce laps de temps, la formation restreinte a considéré que le manquement à l’obligation de sécurité était caractérisé.

Partant, la CNIL a prononcé une sanction d’un montant de 100.000 euros à l’encontre de la société DARTY. Le montant faible de la sanction a été déterminé en considération de la bonne coopération de DARTY avec les services de la CNIL et de son initiative de diligenter un audit de sécurité après cette atteinte à la sécurité.

A noter que ce même contrôle aurait pu donner lieu à des sanctions beaucoup plus lourdes à l’encontre de DARTY s’il s’était déroulé après l’entrée en application du Règlement européen sur la protection des données personnelles qui prévoit pour ce type de violation des sanctions pouvant atteindre 10.000.000 d’euros ou 2% du chiffre d’affaire mondial de DARTY et aurait également engagé directement la responsabilité de son prestataire la société EPTICA.

A rapprocher : article 34 et article 35 de la loi n°78-17 du 6 janvier 1978 dite loi informatique et libertés

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…