Une sanction accompagnée de la publicité de cette décision. L’autorité reproche à l’éditeur de bricoprive.com plusieurs indélicatesses sur l’autel du sacro-saint RGPD.
Par exemple, les données de 130 000 personnes avaient été conservées plus de cinq ans après leur dernière connexion au compte client. La société avait également omis de mentionner plusieurs informations impératives comme les durées de conservation, les bases juridiques des traitements et certains droits. La mention du DPO n’apparaissait que dans un formulaire dédié aux désabonnements et désinscriptions.
La même société avait une approche très particulière du droit à l’effacement : « lors du contrôle du 13 novembre 2018, la délégation de contrôle a été informée que lorsqu’une personne demande l’effacement de son compte, la société ne supprime pas les données à caractère personnel mais procède uniquement à la désactivation du compte en question, empêchant la personne de s’y connecter et bloquant l’envoi de prospection commerciale ».
Sur le terrain de la sécurité, l’authentification lors de la création d’un compte « reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 ». Quant à l’authentification des salariés aux bases de données, elle était « insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société ».
Brico Privé a tenté de se dépêtrer de cette mise en cause en avançant que la sécurisation n’était qu’une obligation de moyen, non de résultat.
La formation restreinte de la CNIL lui a répondu que « la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci », outre que « la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information ».
Elle lui a rappelé que « le fait de stocker les mots de passe d’accès aux bases de données en clair dans un fichier texte contenu dans un ordinateur de la société n’est pas une solution de gestion sécurisée des mots de passe ». Et que « la fonction de hachage utilisée pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com était obsolète (MD5) ».
Autres indélicatesses, des cookies installés automatiquement lors de l’arrivée sur la page d’accueil ou des prospections commerciales adressées dès la création d’un compte.
« La société a fait preuve de négligence grave s’agissant de principes fondamentaux du RGPD puisque six manquements sont constitués, portant notamment sur le principe de limitation de la durée de conservation des données, l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel et celle de respecter leurs droits » écrit la CNIL dans sa délibération.
Elle ajoute à l’amende administrative, une série d’injonctions puisque la société n’avait corrigé au fil de l’eau, qu’une partie des contrariétés dénoncées par la CNIL lors son contrôle.
Commentaires (35)
#1
500 000 euros c’est le salaire d’un adminsys junior (région parisienne) pendant 10 ans. Personne qui aurait pu entretenir et sécuriser un peu mieux leur SI. J’espère que cette amende les fera un peu réfléchir !
#1.1
Je ne suis pas du métier, mais je pense que quand tu parles de 500 000€ sur 10 ans pour un sysadmin junior c’est hors charges patronales (33 333€ brut annuel sur Paris ça me parait pas cher payé). Du coup on est plus sur du 750 000€ sur 10 ans, ils ont donc économisé 250 000€ dans l’affaire
#1.2
L’idée était surtout de comparer le montant de l’amende avec un salaire sur plusieurs années pour un employé qui auraient mis les choses à plat.
#2
J’aimerai bien savoir comment se déroule ce genre d’enquête ?
D’abord, est-ce que quelqu’un à prévenu la CNIL (un (ancien ?) employé, un client, … ?), et est-ce qu’ils ont accès à l’intégralité du code + des configurations serveur, ou juste ils posent des questions et les employés répondent gentiement “le mot de passe de la base de donéées ? Bah, il est sur le fichier mdp.txt sur le PC de Jean-Luc” ???
#3
Bouh, le méchant bricoprive.com
Heureusement que les GAFA ne font pas cela. Ca serait terrible.
#3.1
Effectivement. J’ai (a priori) fermé un compte FB mais je reçois tjrs des mail de FB sur l’adresse mail concernée …
#3.2
Le pire étant ces rumeurs de “shadow profiles” qui sont créés par les sites et pour lesquels il n’y a évidemment aucun moyen de demander la suppression (puisque pas de compte officiel).
#3.3
Ce n’est pas une rumeur … et ce n’est pas un secret non plus
Mais avec le RGPD ils sont censé avoir eu ton accord à un moment.
#4
En France on a pas de GAFA mais on a des idées,
#4.1
Ils ont eu 2 ans pour résoudre leurs soucis avec le RGPD, j’ai lu de travers la délibération, et je trouve qu’ils s’en sortent bien.
#5
Et ils sont censés aussi respecter quand on ne le donne plus.
#5.1
ils sont même censés proposer un moyen de retirer son accord
#6
“Sur le terrain de la sécurité, l’authentification lors de la création d’un compte « reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 »… La formation restreinte de la CNIL lui a répondu que « la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci »”
Euh, ma banque en est toujours à un mot de passe de 6 chiffres pour m’authentifier, avec des conséquences en terme de piratage bien plus grandes - ça n’émeut pas la CNIL ?
#6.1
Tu as le droit à combien d’essais avant d’être bloqué ?
Et sans double authentification, tu peux faire quoi sur ton compte ?
#6.2
Comme le dit fred42, les comptes sont souvent bloqués rapidement et la double authentification est maintenant obligatoire.
De plus, on ne peut pas taper ces 6 chiffres au clavier mais via leurs interfaces pourries, donc pas de keylogger possible.
C’est absurde niveau sécurité d’avoir que 6 chiffres, mais c’est pour pallier à l’ignorance des gens lambda (qui n’utilisent donc pas de gestionnaire de mots de passe) (et qui mettrai le nom de leurs enfants comme mot de passe).
J’imagine que c’est une sorte de compromis même si je préfèrerai (personnellement) pouvoir mettre un mot de passe de 30 caractères que je ne connaitrai pas et qui serait au chaud dans mon gestionnaire :)
#6.3
Je doute qu’une date de naissance soit plus fiable qu’un prénom…
#6.4
Pour le coup, les dates de naissance ne doivent pas être beaucoup utilisées puisqu’on ne peut pas utiliser un mot de passe déjà réutilisé.
Mais c’est un problème de façon générale d’ignorance des gens je pense.
#7
Euh, mes 2 banques aussi, c’est grave docteur ?
#8
Comme le dit pofilo :
J’ai vu passer un keylogger qui fait un screenshot lors de l’apparition du clavier virtuel et enregistre les coordonnées x/y à chaque frappe. Ça demande une étape manuelle pour reconstruire la suite de chiffres, mais c’est faisable.
Après, avec un phishing bien fait, on peut aussi intercepter la double authentification. Mais je ne sais pas si ça se fait souvent ou pas.
#9
OMG !
Et pendant ce temps, Sony stocke les mdp et les n° de CB en clair. Mais tout va bien.
#9.1
En 2014 ou après mai 2018 ?
Car justement maintenant les instances peuvent agir (plus facilement et en faisant plus mal).
#9.2
C’était en 2011 ! Il y a 20 ans, donc, mais ça a failli marcher.
#10
Ils n’ont pas été hacké récemment donc on ne sait pas encore.
Heureusement qu’il y a les hackers pour faire les audits de conformité RGPD
#11
Ce doit être la raison pour laquelle l’ordre des chiffres est aléatoire sur ces claviers virtuels.
#12
2011 ou 2001 ?
#12.1
Oups, 10 ans, mais ça fait déjà beaucoup.
#13
Perso je préfère un mdp de 39 caractères que je connais
D’où le screenshots pour savoir où sont le chiffrés avant d’enregistrer les coordonnés de clics ;)
#13.1
Ah oui au temps pour moi, j’avais pas fait le rapprochement entre les deux actions.
#13.2
D’ailleurs pas besoin d’interventionnhumaine a posteriori comme le sous entends @Garga
Il suffit de capturer la zone autour du pointeur à chaque clic (20px à vue de nez pour ma banque), un coup d’OCR et le “keylogger” à toutes les infos nécessaires tout seul comme un grand
Bientôt pour éviter ça il vont nous faire des claviers virtuels en mode capcha
#13.3
Toutafé.
Chez un de mes clients précédents j’ai utilisé Selenium avec une authentification sur un tel type de clavier. On ne peut plus simple.
#14
Au sujet des banques à la sécurité “faible” par rapport à l’authentification, c’est loin d’être le cas. Ce n’est qu’une apparence.
Le “mot de passe” est souvent faible, mais :
#15
Maintenant certaines font un contrôle de l’appareil avec envoi d’un SMS ou/et d’un mail pour confirmer lors de l’installation de l’appli.
#16
Pas de double authentification avec un code par SMS ou une appli ?
Dans ce cas, en effet c’est pas légal et je te conseille de contacter la CNIL (si personne ne la prévient, elle ne peut pas deviner…).
#17
Je ne comprends pas qu’on ait encore des restrictions sur nos mots de passe. Un site sur deux, c’est “pas le droit à plus de 12 caractères”, “pas le droit aux espaces”, “pas le droit aux smileys” ou autres caractères non Ascii… Mais une fois salé/hashé, tout ça c’est pareil en bdd, pourquoi vous m’embêtez ???
Mais bon, c’est frustrant mais c’est pas le plus grave, car pendant ce temps chez Free, quand tu dis que tu as oublié ton mot de passe, tu le reçois toujours par email, façon années 2000… (En tous cas y a un an c’était encore ça, j’essaie pas tous les jours…)
#18
En effet, j’ai bien la double authentification, et de mémoire pour l’appli Android elle est liée à mon smartphone - si j’en change, je dois faire authentifier le nouveau - mais sur le web, si on connaît mon identifiant et mot de passe, on peut consulter tous mes comptes, télécharger un RIB, voir les bénéficiaires enregistrés pour les virements (sans en faire un), c’est déjà beaucoup…
Et tous les ans, ils me forcent à changer mon code à 6 chiffres !