Darty puni de 100.000 euros d'amende pour avoir mal protégé les données de ses clients

Ne pas protéger suffisamment les données de ses clients peut coûter cher. Darty l'a appris à ses dépens. Le distributeur a été sanctionné par la Cnil de 100.000 euros d'amende pour avoir exposé imprudemment les données de ses clients ayant effectué une demande en ligne de service après-vente (SAV). "Darty a fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients" explique le texte expliquant cette sanction, publiée au JO.

Cette décision intervient quelques mois avant que la réglementation générale de protection des données (RGPD), applicable au 25 mai 2018, n'expose à des sanctions pécuniaires beaucoup plus élevées, les entreprises prises en défaut de protection des données de leurs clients ou salariés.

900.000 fiches clients étaient potentiellement accessibles

En février 2017, la Cnil avait été alertée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de l'enseigne. "Lors d’un contrôle en ligne réalisé début mars 2017 les équipes de la Cnil ont pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente" explique la Commission.

Plus de 900.000 fiches étaient potentiellement accessibles et la CNIL a même procédé au téléchargement, par échantillonnage, de 7417 d’entre elles. Elle a pu constater que des données à caractère personnel de clients étaient accessibles sur des fiches, telles que leur nom, prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes.

Darty n'avait pas rectifié la faille à l'issue de 2 contrôles

Le contrôle complémentaire réalisé sur place quinze jours plus tard par la Commission a révélé que le formulaire en cause, à l’origine du défaut de sécurité, avait été développé par un prestataire externe (la société Eptica) vendant un logiciel de service après-vente. Alors même qu’elle avait informé Dartu de cet incident de sécurité, la Cnil précise avoir "constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps".

Elle rappelle que faire appel à un prestataire sous-traitant ne décharge pas une entreprise de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

"La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients". Darty aurait dû, selon elle, procéder de façon régulière à la revue des formulaires en ligne permettant d’alimenter l’outil de gestion des demandes de SAV. La Cnil a tenu compte de l’initiative de l'enseigne de diligenter un audit de sécurité après la découverte de l'incident et de sa bonne coopération avec ses services. Sa sanction est susceptible de faire l’objet d’un recours devant le Conseil d’État.