La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant

Cépamoicélui 71
image dediée
Justice
Par
le mardi 09 janvier 2018 à 11:19
Marc Rees

Darty, le spécialiste de l’électroménager, s’est vu reprocher une mauvaise sécurisation de l’interface client dédiée au service après-vente. Un formulaire certes géré par son sous-traitant n’a pu se dédouaner de sa responsabilité aux yeux de la CNIL.

Lors du contrôle en ligne réalisé en mars 2017, une délégation de la CNIL alertée visiblement par Zataz a constaté qu’après avoir rempli un formulaire de service après-vente, le site officiel produisait un lien hypertexte « correspondant au numéro d’enregistrement de la demande ». Seul hic : l’identifiant du dossier était intégré dans l’adresse URL correspondante :

http://darty.epticahosting.com/selfdarty/requests.do?id=XXX

En modifiant la dernière variable, il était alors possible de prendre connaissance des fiches remplies par d’autres clients de la société.

Selon la CNIL, qui a fait publier sa décision hier au Journal officiel, 912 938 fiches étaient alors potentiellement accessibles. À titre de vérification, elle a d’ailleurs téléchargé un échantillon de 7 417 d’entre elles pour constater la présence de données personnelles telles que le nom des clients, leurs « prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes ».

Après signalement, Darty  a contacté le 6 mars la société EPTICA, son prestataire, « afin qu’elle prenne les mesures nécessaires ». Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ». Nouveau contrôle de la délégation de la CNIL qui a constaté cette fois un accès à 918 721 fiches.

Une URL qui « appartient » au sous-traitant

Lisez la suite : 69 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...