Darty, le spécialiste de l’électroménager, s’est vu reprocher une mauvaise sécurisation de l’interface client dédiée au service après-vente. Un formulaire certes géré par son sous-traitant n’a pu se dédouaner de sa responsabilité aux yeux de la CNIL.
Lors du contrôle en ligne réalisé en mars 2017, une délégation de la CNIL alertée visiblement par Zataz a constaté qu’après avoir rempli un formulaire de service après-vente, le site officiel produisait un lien hypertexte « correspondant au numéro d’enregistrement de la demande ». Seul hic : l’identifiant du dossier était intégré dans l’adresse URL correspondante :
http://darty.epticahosting.com/selfdarty/requests.do?id=XXX
En modifiant la dernière variable, il était alors possible de prendre connaissance des fiches remplies par d’autres clients de la société.
Selon la CNIL, qui a fait publier sa décision hier au Journal officiel, 912 938 fiches étaient alors potentiellement accessibles. À titre de vérification, elle a d’ailleurs téléchargé un échantillon de 7 417 d’entre elles pour constater la présence de données personnelles telles que le nom des clients, leurs « prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes ».
Après signalement, Darty a contacté le 6 mars la société EPTICA, son prestataire, « afin qu’elle prenne les mesures nécessaires ». Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ». Nouveau contrôle de la délégation de la CNIL qui a constaté cette fois un accès à 918 721 fiches.
Une URL qui « appartient » au sous-traitant
Ce n’est finalement que le 15 mars 2017, après un contrôle sur place, que la société a finalement assuré que les URL étaient enfin sécurisées. Néanmoins, le mal était fait et la CNIL a décidé de lancer une procédure de sanction.
Lors du bras de fer avec l’autorité, la société a tenté de s’extraire en affirmant qu’elle n’était en rien responsable du traitement litigieux. Elle a par exemple expliqué « n’avoir jamais consulté ou utilisé l’URL litigieuse susvisée, qui appartient à la société EPTICA, pour traiter les demandes de ses clients. Elle dispose de son propre formulaire de collecte disponible sur son site www.darty.com. »
En outre, jamais le formulaire en question n’a été demandé ou proposé dans le cahier des charges signé avec son sous-traitant. Selon Darty, c’est donc bien EPTICA qui a « développé de sa propre initiative et pour des finalités qui lui sont propres le formulaire de demande de service après-vente accessible via l’URL litigieuse ». À elle, autrement dit, d’en assumer les risques.
Un seul et même traitement
Mais la CNIL va repousser cet argumentaire, d'ailleurs déjà entendu lors d’un dossier impliquant Orange. Elle rappelle sa doctrine : « Être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres ». Or, ici, c’est bien Darty qui a fait appel à ce prestataire.
En outre, « l’ensemble de ces demandes se rattache à un seul et même traitement, celui des données à caractère personnel des clients » avec une finalité unique : le traitement du SAV. Ainsi, les données glanées sur le formulaire poreux « sont versées dans l’outil de gestion des demandes de service après-vente et sont bien traitées par les services de la société ».
Pour la Commission, la finalité de ce formulaire est donc bien celle poursuivie par Darty. C’est elle qui la détermine. Enfin, « si la société EPTICA a mis à disposition le formulaire accessible via l’URL http://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement ».
L'exigence de vérifications préalables
L’analyse peut sembler rugueuse, mais Darty a bien été considérée comme responsable du traitement litigieux. De là, il lui appartenait « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par la société EPTICA répondaient à l’obligation de confidentialité ».
Selon la délibération, en effet, « la vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques », surtout lorsqu’on lui propose un logiciel sur étagère. Faute de les avoir réalisés, elle a donc fait preuve de négligence pour prévenir un accès non autorisé aux données personnelles des clients.
Au final, Darty a écopé d’une sanction de 100 000 euros, outre une délibération rendue publique « au regard des éléments précités, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes de quant au risque pesant sur la sécurité de leurs données ». La société est maintenant en droit d’attaquer cette délibération devant le Conseil d’État.
