Darty amende de 100.000 euros pour ne pas avoir protégé les données d’un formulaire en ligne

Le distributeur écope d’une amende de 100.000 euros pour ne pas avoir protégé les données d’un formulaire en ligne créé par un prestataire externe.

Sources Les Echos.fr Sophie Amsili Le 09/01

Darty est épinglé pour ne pas avoir suffisamment protégé les données de ses clients.
La Commission nationale de l’informatique et des libertés (CNIL) a annoncé ce mardi avoir infligé une sanction de 100.000 euros à l’encontre du groupe d’électroménager pour avoir « manqué à son obligation de sécurité des données personnelles ».

En cause, un formulaire de demande de service après-vente en ligne développé par un prestataire externe : « une défaillance de sécurité » permettait à un tiers « d’accéder librement » à « plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients », explique la formation restreinte de la CNIL dans un communiqué .

La Commission précise avoir été informée de cette défaillance en février 2017 par un éditeur en ligne « spécialisé dans la sécurité des systèmes d’information ». Ses équipes l’ont confirmée lors d’un premier contrôle, en ligne, début mars et ont prévenu Darty.

Faire appel à un prestataire « ne décharge pas » Darty

Mais lors d’un second contrôle sur place, quinze jours plus tard, le problème demeure. La CNIL dit avoir « constaté que les fiches des clients étaient toujours accessibles […] et que de nouvelles fiches avaient été créées dans ce laps de temps ». Toutefois, le soir même, Darty informait les services de la CNIL de « mesures prises pour remédier à cet incident ».

Que le formulaire ait été développé par un prestataire n’est pas une circonstance atténuante pour la CNIL : « le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement », écrit-elle. Quant au fait que le formulaire n’était, selon Darty, de toute manière pas utilisé, la CNIL insiste : le groupe aurait dû « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ».

Darty se réserve la possibilité d’un recours

Plus généralement, la CNIL reproche à Darty de ne pas avoir procédé à une « vérification préalable d’absence de vulnérabilité » des outils et de ne pas avoir revu ces derniers « de façon régulière ». Elle souligne néanmoins avoir tenu compte de l’initiative du groupe « de diligenter un audit de sécurité après cette atteinte à la sécurité » et de « sa bonne coopération ».

De son côté Darty se dit « étonné » de la décision de la CNIL car la fonctionnalité mise en cause a été mise en oeuvre par le prestataire « à l’insu » du groupe et que la « potentielle faille de sécurité » qu’elle comportait a été « corrigée par le prestataire. Le groupe dit se réserver la possibilité d’« un éventuel recours » devant le Conseil d’Etat.

Pouvoir de sanction renforcé

La CNIL dispose d’un pouvoir de sanction renforcé depuis la loi République numérique entrée en vigueur le 7 octobre 2016. L’amende maximale qu’elle peut infliger a été portée de 150.000 à 3 millions d’euros. Une peine à laquelle a échappé Facebook en mai dernier, condamné à 150.000 euros d’amende pour des faits antérieurs à l’entrée en vigueur de la loi de « combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ».