Cnil : Darty sanctionné pour atteinte à la sécurité des données clients

13 janvier 2018

La formation restreinte de la Cnil prononce une sanction de 100.000 € à l’encontre de la société Darty pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.

La Commission Nationale de l’Informatique et des Libertés (la Cnil) a été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de la société Darty.
La Cnil a pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles.
Le 8 janvier 2018, la formation restreinte de la Cnil a prononcé une sanction d’un montant de 100.000 €, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés. La formation restreinte a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.
La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.
La formation restreinte relève que la société a fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients. Toutefois, la société a réagi dès qu’elle a eu connaissance de la violation de données en alertant son sous-traitant et il a été mis fin à la violation de données dans un délai raisonnable. Elle relève également que la société a pris l’initiative, après la survenance de la violation de données, de faire procéder à un audit de sécurité sur la nouvelle version de l’outil de gestion des demandes de service après-vente proposé par son prestataire. Elle note, enfin, sa bonne coopération avec la Commission.
Ainsi, la Cnil estime au regard de ces éléments qu’une sanction d’un montant de 100.000 € apparait proportionnée.

– Communiqué de presse de la Cnil du 9 janvier 2018 – “DARTY : sanction pécuniaire pour une atteinte à la sécurité des données clients” – https://www.cnil.fr/fr/darty-sanction-pecuniaire-pour-une-atteinte-la-securite-des-donnees-clients- Délibération n° SAN-2018-001 de la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS – https://www.cnil.fr/fr/darty-sanction-pecuniaire-pour-une-atteinte-la-securite-des-donnees-clients- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 34 – https://www.cnil.fr/fr/darty-sanction-pecuniaire-pour-une-atteinte-la-securite-des-donnees-clients-