Accueil / Données personnelles / Protection des données personnelles : Darty écope d’une amende de 100 000 euros

Protection des données personnelles : Darty écope d’une amende de 100 000 euros

PARTAGER CET ARTICLE

 

La CNIL (Commission Nationale de l’Informatique et des Libertés) vient de décider d’infliger une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.

 

En février 2017, la CNIL a été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients du groupe Darty.

Lors d’un contrôle en ligne réalisé début mars 2017 les équipes de la CNIL ont pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. “Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles”, relève la CNIL.

Alors même qu’elle avait informé Darty de cet incident de sécurité, la CNIL a constaté que les fiches des clients étaient toujours accessibles entre la survenance d’un premier et d’un second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps. Le soir même du second contrôle, Darty informait cependant la CNIL des mesures prises pour remédier à cet incident.

Darty-Cnil

(…) La formation restreinte de la CNIL a prononcé une sanction d’un montant de 100.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Darty aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.

“Par ailleurs, en sa qualité de responsable de traitement, la société aurait dû procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente”, note la CNIL.


Vous avez aimé cet article? NewZilla.NET a besoin de VOUS. Cela mérite une explication. On vous explique tout ICIMerci pour votre soutien et pour votre fidélité à NewZilla.NET.

A lire aussi

RGPD / La CNIL va éditer un guide d’accompagnement pour les PME

Cet ouvrage sera co-édité avec la Banque publique d'investissement (BPI). Il devrait s’adresser en priorité aux PME, qui ne dispose pas d’une service juridique et/ou qui n’ont pas les moyens de se payer les services d’un consultant “spécialisé”, pour comprendre les enjeux de la nouvelle réglementation européenne sur la protection des données personnelles qui s’appliquera à partir du 25 mai 2018.

Pas d’inscription à un réseau social en dessous de 15 ans pour les mineurs non accompagnés

Dans le cadre de l’examen du projet de loi sur les données personnelles, les députés ont adopté mercredi 7 février, en première lecture, de nouvelles règles encadrant les conditions d’inscription des mineurs sur les réseaux sociaux, et par voie de conséquence, la collecte de leurs données personnelles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.