Fuite de données clients : la CNIL sanctionne DHL

Pour la CNIL, le coursier international a tardé à protéger 684 000 fiches clients en libre accès sur Internet et n'a pas procédé à une vérification de la sécurité.
DHL a mal protégé les données de ses clients et, en dépit de mesures correctrices, a été sanctionné par la CNIL. La commission a prononcé une avertissement public à son encontre il y a quelques jours.
Cette décision a été prise « du fait du nombre de personnes concernées et de la nature des données rendues librement accessibles », selon la Commission.
Les faits remontent au 19 février 2014. Ce jour là, la CNIL, ayant été alertée d'une possible faille de sécurité affectant les données des clients de DHL, a constaté que 684 778 fiches clients de la société, qui sollicitaient la « relivraison » de leur colis, étaient référencées dans un moteur de recherche; librement accessibles.
Ces fiches comportaient : l’identité, l’adresse, les numéros de téléphone et adresses électroniques des personnes concernées. Plus graves : certaines informations détaillées permettant de faciliter la livraison des colis, y figuraient, telles que les indisponibilités pour raisons de santé ou la sécurisation des accès aux logements.
Des fiches clients dataient de 2007
La CNIL reproche à la société d'avoir tardé à corriger cette faille. Elle en avait été avertie depuis la fin de 2013 mais n'a entrepris, selon la Commission, aucune démarche de vérification de la sécurité de l’ensemble de l’application qui lui aurait permis d’isoler la fuite de données.
En plus, lors de ses constatations, la CNIL a pointé l'existence de fiches clients datant de 2007. Ce manque de politique limitant la durée de conservation des données a donc été reproché a DHL.
En dépit de mesures correctrices prises par DHL, dès février 2014, aussi bien sur la sécurisation de son application que sur la durée de conservations des données, la CNIL a décidé de sanctionner d'un avertissement public, le coursier international.
Source :
- CNIL (délibération no 2014-238)