Sanction pécuniaire de 100.000 euros pour Darty — Données personnelles

Xavier Trudeau
Janvier 9, 2018

La Commission nationale informatique et libertés (Cnil) vient de condamner Darty à payer 100.000 euros d'amende pour "une atteinte à la sécurité des données clients", a-t-elle annoncé dans un communiqué ce mardi 9 janvier 2018. Ce qui rendait possible " d'accéder librement à l'ensemble des demandes et des données renseignées par les clients ".

Selon la Cnil, c'est un prestataire commercialisant un logiciel de service après-vente qui est à l'origine de la faille.

La Cnil précise toutefois avoir tenu compte de la décision du distributeur de lancer ensuite un audit de sécurité et de la "bonne coopération" avec ses services. Il avertit la CNIL, qui procède à un contrôle en ligne le 2 mars.

Alors que Darty avait informé de cet incident de sécurité, il a été constaté que les fiches des clients demeuraient accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps et ce n'est qu'à ce stade que Darty a pris des mesures pour remédier à l'incident, ce qui justifie qu'une procédure de sanction a été initiée.

C'est le site Zataz qui avait attiré l'attention sur cette affaire après avoir eu vent d'une fuite de données et activé son protocole d'alerte.

Le gendarme français de la vie privée estime que le distributeur - racheté par la Fnac - n'a pas suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.

De fait, des données comme les noms, prénoms, adresses mail et postales, ou numéros de téléphone de clients étaient " potentiellement accessibles.

"La société aurait en effet dû, souligne la CNIL, s'assurer " préalablement que les règles de paramétrage de l'outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d'accéder aux données des clients " car cette vérification préalable d'absence de vulnérabilité fait partie des tests élémentaires qui doivent être " réalisés par une société en matière de sécurité des systèmes d'information ".

D'autres rapports CampDesrEcrues

Discuter de cet article

SUIVRE NOTRE JOURNAL