Amende de la CNIL pour Darty

Le 9 janvier 2018, dans un communiqué, la CNIL annonçait une amende pour Darty. En effet, la CNIL reproche à Darty de ne pas avoir protéger les données personnelles de ses clients.  La sanction infligée est de 100 000 euros. A quelques mois du RGPD, la CNIL en dévoilant publiquement l’infraction montre l’importance de sécuriser les données confidentielles des clients.

 Darty écope d’une amende de la CNIL

Pour commencer, les faits remontent à février 2017. L’histoire commence avec ZATAZ qui relate une possible fuite de données de Darty et en informe l’autorité compétente. En effet, d’après leurs lecteurs, un email frauduleux aurait été envoyé aux clients de l’enseigne. Dans ce mail, il est stipulé « (…) Dans le cadre de notre process de sécurité et afin d’éviter tout accès frauduleux à votre compte, nous avons pris l’initiative de désactiver votre mot de passe sur notre site www.darty.com« . Bien entendu, le mail recommande de se reconnecter et joint les liens permettant d’y accéder. A partir de là, les pirates avaient accès à la boite de messagerie de SAV de Darty.

Malheureusement, la faute était imputable à un prestataire de services de Darty. Pour la CNIL, Darty a fait preuve de négligence dans le suivi de son sous-traitant. De plus, cette négligence a donné un accès aux données personnelles de clients à des personnes malveillantes.

Le constat de la CNIL met en cause Darty

D’après le constat fait par la CNIL « La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.

Par ailleurs, en sa qualité de responsable de traitement, la société aurait dû procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente. A ce titre, la formation restreinte a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires. »

Sabrina DHEDIN

Consultante certifiée MCSE Office 365, Sabrina Dhedin est toujours à l’écoute des nouveautés et des tendances IT. Passionnée elle commente régulièrement les actualités informatiques. Rien ne lui échappe.