Service après-vente en ligne non sécurisé : DARTY condamné par la CNIL à 100.000 € d’amende !

Délibération de la CNIL n°SAN-2018-001 du 8 janvier 2018

La CNIL a prononcé une sanction de 100.000 euros à l’encontre de la société DARTY pour manquement à son obligation de sécurité.

Ce qu’il faut retenir : La CNIL a prononcé une sanction de 100.000 euros à l’encontre de la société DARTY pour manquement à son obligation de sécurité. En effet, à la suite d’une alerte puis d’un contrôle de vérification en ligne, la CNIL a constaté qu’une faille de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente.

Pour approfondir : Le 27 février 2017, l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information a informé les services de CNIL qu’une violation de données à caractère personnel à partir de l’URL http://darty.epticahosting.com/selfdarty/register.do permettrait d’accéder à plusieurs milliers de données de clients de la société.

La CNIL a alors procédé à des missions de contrôle en ligne et sur place au sein des locaux de la société DARTY.

A l’occasion du contrôle en ligne, la CNIL a constaté que l’URL en cause renvoyait vers un formulaire permettant aux clients de la société de déposer une demande de service après-vente. Une fois le formulaire obligatoirement renseigné d’une adresse électronique et d’un mot de passe, un lien hypertexte correspondant au numéro d’enregistrement de la demande permettait d’accéder à son suivi. La délégation a constaté que cet identifiant était contenu dans l’adresse URL. En modifiant le numéro d’identifiant dans cette adresse URL, les fiches de demande de service après-vente remplies par d’autres clients de la société devenaient accessibles.

Lors du contrôle sur place effectué au sein des locaux de DARTY, la CNIL a constaté que DARTY utilisait pour la gestion des demandes de service après-vente de ses clients un outil fourni par son sous-traitant, la société EPTICA.

Ce logiciel de service après-vente était alimenté par trois sources :

  • le formulaire de demande de service après-vente accessible depuis le site de la société, www.darty.com ;
  • les demandes adressées par courrier électronique à une adresse dédiée ;
  • le formulaire accessible depuis l’URL litigieuse.

Ce dernier formulaire, a l’origine de la violation des données correspond au formulaire natif développé et commercialisé par la société EPTICA dans sa solution de gestion des demandes de service après-vente et pour lequel la société EPTICA n’avait pas mis en place de filtrage des adresses URLs.

DARTY a précisé qu’elle ne l’utilisait pas et qu’il n’aurait pas dû être accessible.

Pourtant, lors du contrôle fait par la CNIL, il a été constaté que les fonctionnalités du logiciel rendant accessible ce formulaire n’avaient pas été désactivées.

A ce titre, la CNIL a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

Par ailleurs, il était évident que le sous-traitant de DARTY ne présentait pas un niveau de sécurité adéquat. Le simple fait que DARTY fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

Dès lors, DARTY aurait dû s’assurer préalablement à l’utilisation du logiciel de service après-vente, que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

L’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information selon la CNIL.

Dans la mesure où des fiches des clients étaient toujours accessibles entre le premier et le second contrôle de la CNIL et que de nouvelles fiches avaient été créées dans ce laps de temps, la formation restreinte a considéré que le manquement à l’obligation de sécurité était caractérisé.

Partant, la CNIL a prononcé une sanction d’un montant de 100.000 euros à l’encontre de la société DARTY. Le montant faible de la sanction a été déterminé en considération de la bonne coopération de DARTY avec les services de la CNIL et de son initiative de diligenter un audit de sécurité après cette atteinte à la sécurité.

A noter que ce même contrôle aurait pu donner lieu à des sanctions beaucoup plus lourdes à l’encontre de DARTY s’il s’était déroulé après l’entrée en application du Règlement européen sur la protection des données personnelles qui prévoit pour ce type de violation des sanctions pouvant atteindre 10.000.000 d’euros ou 2% du chiffre d’affaire mondial de DARTY et aurait également engagé directement la responsabilité de son prestataire la société EPTICA.

A rapprocher : article 34 et article 35 de la loi n°78-17 du 6 janvier 1978 dite loi informatique et libertés.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.