cnil darty

La CNIL condamne à 100.000€ d’amende Darty à la suite d’une fuite de données

La CNIL condamne l’entreprise DARTY à 100.000€ d’amende pour négligence dans le suivi des actions de son sous-traitant. Souvenez-vous, nous sommes en mars 2017. Je vous expliquais l’action de la société Darty à l’encontre d’une fuite d’informations concernant un certains nombre de clients. Sept mois plus tard, la CNIL rend son verdict.

La CNIL, ce 8 janvier 2018, a délibéré sur le cas de l’entreprise Darty. En février 2017, ZATAZ lançait un protocole d’alerte à l’encontre de cette entreprise à la suite de la découverte d’une fuite de données conséquente. Un mail envoyé aux clients. Dedans, un lien et un identifiant sous forme de chiffre, dans l’adresse web. Des chiffres qui pouvaient être modifiés. La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente [Protocole d’alerte ZATAZ n’270220171950]. Bilan, des milliers de messages étaient accessibles, très simplement, en modifiant l’url de la requête. Le numéro client permettait d’accéder aux questions/réponses entre l’internaute et la SAV Darty. J’avais pu constater à l’époque jusqu’à 911.004 interactions ! Pour les clients, aucunes données bancaires n’étaient accessibles, mais des adresses mails, des numéros de téléphone et des identités [noms, prénoms] et dans certains cas le numéro de la carte client.

Demain, le RGPD

Des informations largement suffisantes pour un escroc souhaitant cibler ses victimes. Si Darty n’était pas le fautif premier, c’est son prestataire de service qui n’avait pas correctement protégé son outil [cela concernait d’ailleurs d’autres entreprises partenaires, NDR], le spécialiste de l’électroménager a été condamné par la Commission Informatique et des Libertés pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients » dixit la grande dame.

A quelques mois de la mise en place du RGPD (Règlement Général sur la Protection des Données), n’oubliez pas que vos partenaires sont aussi à éduquer (contrat, charte, contrôle, …) au risque d’être pris dans la même nasse juridique en cas de problème.

En un an, la CNIL a pu avertir et/ou condamné, entre autres, le Parti Socialiste, Optical Center, OuiCar, Hertz France… grâce au Protocole ZATAZ. Sur la même période, plus de 20 cas ont été remontés à la Grande Dame en charge de la protection des données privées des Français par l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information ». Pour rappel, le Protocole d’Alerte de ZATAZ est totalement bénévole, gratuit et sans but lucratif.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. bruch Reply

    bonjour,

    Comment peut-on savoir si nos données clients sont concernées et quelles sont elles ?

    Merci

    • Damien Bancal Reply

      Les données concernent toutes les personnes passées par le SAV (via le web). Les données en question sont expliquées dans l’article.

  2. Comette Reply

    Bonjour
    Tout cela ne rassure pas sa baht qu’à ce jour presque tout ou parti des commerçants nous impose la création d’un compte
    On a beau s’inscrire avec un mail « secondaire » le reste des infos (adresse postale, tél, nom, prénom etc..) demeurent justes
    Auriez vous des astuces à ce sujet ou des conseils de précaution à mettre en place ?
    Merci pour vos commentaires
    Cdt
    Comette

    • Damien Bancal Reply

      Bonjour,
      J’avoue que pour le téléphone, l’adresse postale, cela devient très compliqué.
      De mon côté, mais cela a un coût : boite postale, téléphone dédié, …
      Il est important aussi de regarder si demander l’adresse postale est pertinent.
      Pour ce qui est des livraisons de colis, par exemple :
      – Dépôt boutique
      – Poste restante
      Pour les mails, le site jetable.org est particulièrement utile.

  3. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

  4. Pingback: ZATAZ Confidentialité : Amende de 180 000€ pour fuite de données - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.