La CNIL condamne à 100.000€ d’amende Darty à la suite d’une fuite de données
La CNIL condamne l’entreprise DARTY à 100.000€ d’amende pour négligence dans le suivi des actions de son sous-traitant. Souvenez-vous, nous sommes en mars 2017. Je vous expliquais l’action de la société Darty à l’encontre d’une fuite d’informations concernant un certains nombre de clients. Sept mois plus tard, la CNIL rend son verdict.
La CNIL, ce 8 janvier 2018, a délibéré sur le cas de l’entreprise Darty. En février 2017, ZATAZ lançait un protocole d’alerte à l’encontre de cette entreprise à la suite de la découverte d’une fuite de données conséquente. Un mail envoyé aux clients. Dedans, un lien et un identifiant sous forme de chiffre, dans l’adresse web. Des chiffres qui pouvaient être modifiés. La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente [Protocole d’alerte ZATAZ n’270220171950]. Bilan, des milliers de messages étaient accessibles, très simplement, en modifiant l’url de la requête. Le numéro client permettait d’accéder aux questions/réponses entre l’internaute et la SAV Darty. J’avais pu constater à l’époque jusqu’à 911.004 interactions ! Pour les clients, aucunes données bancaires n’étaient accessibles, mais des adresses mails, des numéros de téléphone et des identités [noms, prénoms] et dans certains cas le numéro de la carte client.
Demain, le RGPD
Des informations largement suffisantes pour un escroc souhaitant cibler ses victimes. Si Darty n’était pas le fautif premier, c’est son prestataire de service qui n’avait pas correctement protégé son outil [cela concernait d’ailleurs d’autres entreprises partenaires, NDR], le spécialiste de l’électroménager a été condamné par la Commission Informatique et des Libertés pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients » dixit la grande dame.
A quelques mois de la mise en place du RGPD (Règlement Général sur la Protection des Données), n’oubliez pas que vos partenaires sont aussi à éduquer (contrat, charte, contrôle, …) au risque d’être pris dans la même nasse juridique en cas de problème.
En un an, la CNIL a pu avertir et/ou condamné, entre autres, le Parti Socialiste, Optical Center, OuiCar, Hertz France… grâce au Protocole ZATAZ. Sur la même période, plus de 20 cas ont été remontés à la Grande Dame en charge de la protection des données privées des Français par l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information ». Pour rappel, le Protocole d’Alerte de ZATAZ est totalement bénévole, gratuit et sans but lucratif.
bonjour,
Comment peut-on savoir si nos données clients sont concernées et quelles sont elles ?
Merci
Les données concernent toutes les personnes passées par le SAV (via le web). Les données en question sont expliquées dans l’article.
Bonjour
Tout cela ne rassure pas sa baht qu’à ce jour presque tout ou parti des commerçants nous impose la création d’un compte
On a beau s’inscrire avec un mail « secondaire » le reste des infos (adresse postale, tél, nom, prénom etc..) demeurent justes
Auriez vous des astuces à ce sujet ou des conseils de précaution à mettre en place ?
Merci pour vos commentaires
Cdt
Comette
Bonjour,
J’avoue que pour le téléphone, l’adresse postale, cela devient très compliqué.
De mon côté, mais cela a un coût : boite postale, téléphone dédié, …
Il est important aussi de regarder si demander l’adresse postale est pertinent.
Pour ce qui est des livraisons de colis, par exemple :
– Dépôt boutique
– Poste restante
Pour les mails, le site jetable.org est particulièrement utile.
Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ
Pingback: ZATAZ Confidentialité : Amende de 180 000€ pour fuite de données - ZATAZ