Aussi, une délégation de la Commission a procédé à des missions de contrôle en ligne et sur place au sein des locaux de la société les 2 et 15 mars 2017.
Lors du contrôle en ligne du 2 mars 2017, la délégation a constaté que l’URL http://darty.epticahosting.com/selfd...ty/register.do renvoyait vers un formulaire permettant aux clients de la société de déposer une demande de service après-vente. Une fois le formulaire obligatoirement complété d’une adresse électronique et d’un mot de passe, un lien hypertexte correspondant au numéro d’enregistrement de la demande permettait d’accéder à son suivi. La délégation a constaté que cet identifiant (un numéro de ticket ) est contenu dans l’adresse URL construite de la façon suivante : http://darty.epticahosting.com/selfd...ests.do?id=XXX . Elle a relevé qu’en modifiant le numéro d’identifiant dans cette adresse URL, les fiches de demande de service après-vente remplies par d’autres clients de la société étaient accessibles.
La délégation a ainsi pu relever que 912 938 fiches étaient potentiellement accessibles et a procédé au téléchargement, par échantillonnage, de 7417 d’entre elles. Il a été constaté que des données à caractère personnel de clients étaient accessibles sur des fiches, telles que leur nom, prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes.
À l’issue du contrôle, la délégation a pris contact avec la société pour l’informer de l’existence de cette violation de données à caractère personnel.
Lors du contrôle sur place effectué au sein des locaux de la société le 15 mars 2017, ayant pour objet de vérifier les mesures correctrices prises à la suite de la révélation de la violation de données, la délégation a été informée du fait que la société utilise pour la gestion des demandes de service après-vente de ses clients un outil fourni par son sous-traitant, la société EPTICA.
Si le formulaire problématique n’a pas été développé par Darty, mais par un prestataire, cela « ne décharge pas [Darty] de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. »
Cet outil est en principe alimenté par deux sources : le formulaire de demande de service après-vente accessible depuis le site de la société www.darty.com et les demandes adressées par courrier électronique à une adresse dédiée. Le formulaire accessible depuis l’URL litigieuse http://darty.epticahosting.com/selfd...ty/register.do constitue une troisième source d’alimentation. Ce dernier formulaire, dont la société indique n’avoir pas eu connaissance, correspond au formulaire natif développé et commercialisé par la société EPTICA dans sa solution de gestion des demandes de service après-vente. La société a précisé qu’elle ne l’utilisait pas et qu’il n’aurait pas dû être accessible.
La délégation de la CNIL a, en outre, été informée de ce que l’URL de la forme http://darty.epticahosting.com/selfd...ests.do?id=XXX permet d’accéder à l’intégralité des demandes contenues dans l’outil de gestion des demandes de service après-vente, y compris aux demandes formulées via le formulaire disponible sur le site www.darty.com et par courriers électroniques.
La société lui a également indiqué avoir contacté la société EPTICA dès le 6 mars 2017 afin qu’elle prenne les mesures nécessaires, cette dernière lui ayant précisé que les modifications, non aisées à déployer, n’étaient pas mises en place.
La délégation a alors constaté qu’en modifiant l’identifiant numérique dans l’URL http://darty.epticahosting.com/selfd...ests.do?id=XXX , 918 721 fiches de demande de service après-vente de clients étaient toujours accessibles, dont 5783 nouvelles fiches créées depuis le contrôle en ligne.
Après avoir délibéré, la formation restreinte de la CNIL a décidé :
- de prononcer une sanction pécuniaire à l’encontre de la société ÉTABLISSEMENTS DARTY ET FILS d’un montant de 100 000 (cent mille) euros ;
- de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.
« La formation restreinte relève que la société a fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients.
« Si la formation restreinte prend acte de l’absence de traitement de données sensibles telles que définies à l’article 8 de la loi du 6 janvier 1978 modifiée ou de données bancaires, pour autant, elle considère que le manquement à la sécurité et à la confidentialité est grave en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées.
« La formation restreinte note, en revanche, que la société a réagi dès qu’elle a eu connaissance de la violation de données en alertant son sous-traitant et qu’il a été mis fin à la violation de données dans un délai raisonnable. Elle relève également que la société a pris l’initiative, après la survenance de la violation de données, de faire procéder à un audit de sécurité en août 2017 sur la nouvelle version de l’outil de gestion des demandes de service après-vente proposé par son prestataire. Elle note, enfin, sa bonne coopération avec la Commission.
« Au regard de ces éléments, une sanction d’un montant de 100 000 (cent mille) euros apparaît proportionnée. »
La Commission aurait pu décider de garder la sanction secrète. Elle a décidé de la rendre publique afin de « sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données. »
Source : journal officiel
Et vous ?
Que pensez-vous de cette décision ?
Partagez-vous le point de vue de la CNIL qui estime qu'un établissement peut porter la responsabilité d'un travail qui lui a été livré par un sous-traitant ?