La Société DARTY écope de 100.000€ d’amende et la publicité de la délibération rendue par la CNIL en raison de l’atteinte à la sécurité des données personnelles de ses clients.
Alertée par un tiers, la CNIL constate une défaillance de sécurité affectant les formulaires de demande de service après-vente en ligne développés par un prestataire externe de la Société DARTY lors d’un contrôle au printemps 2017. La CNIL a ainsi pu prélever un échantillon de plus de 7000 fiches comprenant des données personnelles, telles que le nom, le prénom, l’adresse du client, son adresse électronique ou encore les commandes concernées ; démontrant la vulnérabilité de l’outil et l’accessibilité de ces données à des tiers non autorisés.
Quinze jours après en avoir informé DARTY, il s’est avéré que les fiches étaient toujours potentiellement accessibles. De plus, de nouvelles fiches avaient été créées. Ce n’est qu’à l’issue de ce second contrôle que la société et son sous-traitant vont prendre les mesures nécessaires pour mettre fin à cette faille de sécurité.
À l’argumentaire de DARTY selon lequel elle ne serait pas le responsable de traitement des données concernant les traitements affectés par la violation de données, la CNIL va rappeler, comme elle l’avait déjà fait avec la Société HERTZ, que le fait qu’elle ait fait appel à un prestataire externe ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte. Elle ajoute qu’elle a fait preuve de négligence dans la surveillance des actions de celui-ci, et notamment dans la résolution de la violation de sécurité.
La CNIL souligne toutefois que la société a réagi dès qu’elle a eu connaissance de la violation en alertant son sous-traitant et qu’il a été mis fin à la violation dans un délai raisonnable. Elle relève également que DARTY a pris l’initiative de faire procéder à un audit de sécurité en août dernier sur la nouvelle version de l’outil de son prestataire et a fait montre d’une bonne coopération.
C’est au regard de l’ensemble de ces éléments et de la nécessité de sensibiliser les internautes quant aux risques de sécurité pouvant affecter leurs données personnelles que la CNIL a infligé à la Société DARTY une sanction pécuniaire de 100.000€ et rendu publique sa décision.
À l’aune de l’entrée en vigueur du RGPD (cf. notre actualité du 13 octobre 2017), lequel prévoit des sanctions pouvant atteindre 4% du chiffre d’affaires mondial de la société, cette délibération semble être l’occasion d’interpeller les entreprises sur les obligations qui sont les leurs en tant que responsable de traitement.
Notre équipe IP/IT se tient naturellement à votre disposition pour échanger et vous assister dans la mise en conformité de vos pratiques.
