Dépêches

j

Juridique

Les sanctions de la CNIL

Données personnelles : une société condamnée pour une erreur commise par son sous-traitant

Défaillance du système due à un sous-traitant

Courant 2017, la CNIL a été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de la société Darty.

La CNIL a alors constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles.

Le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par un prestataire. Or, ce prestataire n’avait pas mis en place de filtrage des adresses URLs, qui aurait permis d’empêcher à des tiers non autorisés d’accéder aux données des clients.

Sanction de 100 000 € infligée par la CNIL

Ce défaut de fonctionnement a naturellement été réparé. Pour autant, la CNIL a prononcé contre la société Darty une sanction d’un montant de 100.000 €, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi 78-17 du 6 janvier 1978, dite « loi Informatique et Libertés ».

La CNIL a clairement précisé que le simple fait que la société fasse appel à un prestataire sous-traitant ne la déchargeait pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

CNIL, délibération n° SAN-2018-001 du 8 janvier 2018

Retourner à la liste des dépêches Imprimer