Cnil-Darty : une amende aux airs de RGPD

La Cnil a infligé une amende de 100 000 euros au groupe Darty pour ne pas avoir suffisamment sécurisé les données des clients. Cette décision donne un avant-goût des exigences du Règlement Général de la protection des données (RGPD).

L’histoire retiendra que Darty a écopé d’une forte amende pour avoir tarder à réagir et ne pas avoir contrôlé l’activité de son sous-traitant. L’affaire est simple, nos confrères de Zataz découvrent qu’en qu’en modifiant l’adresse Internet reçue de Darty pour le suivi d’une demande adressée via via un formulaire en ligne de demande de service après-vente, il était possible d’accéder à toutes les autres demandes. Le formulaire faillible a été développé par un prestataire commercialisant un logiciel de service après-vente « sur étagère ». Or après deux contrôles, la Cnil a constaté que les fiches des clients étaient toujours accessibles. Le formulaire incriminé n’avait pas corrigé sa faille, ni mis en place de filtrage d’URL pour limiter les risques.

Prestataires et sous-traitants sous surveillance

Devant l’inaction de Darty face à son sous-traitant, la formation restreinte de la Cnil a estimé que le fait de « faire appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. » A la lueur du RGPD, la Cnil donne un avertissement aux entreprises n’ayant pas encore pris les dispositions pour s’y conformer. Cette réglementation implique une révision des contrats avec les prestataires et les sous-traitants. Ces derniers devront prouver leur conformité au RGPD pour éviter de voir leur responsabilité mise en jeu en cas d’incident.

Audit et règles de sécurité incontournables

Autre élément indiqué par la Cnil, la « vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information ». Darty aurait dû s’assurer du bon paramétrage de formulaire et de son audit. Le régulateur pousse même la facétie jusqu’à donner des leçons au RSSI de Darty sur ce qui aurait dû être fait. « Une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». Le RGPD impose aux sociétés de garantir que l’ensemble des mesures de sécurité soient prises pour éviter des incidents comme des vols de données personnelles. Ces exigences sont rappelées dans l’affaire Darty, l’appel à un sous-traitant ne dédouane pas de l’application des règles de sécurité et d’audit.

Un avertissement à 100 000 euros

En conséquence, la formation restreinte a prononcé une amende de 100 000 euros à l’encontre de Darty. La Cnil précise que la sanction est proportionnée, car l’entreprise a diligenté un audit de sécurité. Le couperet sonne surtout comme un avertissement sans frais aux sociétés, et elles sont encore nombreuses, qui n’ont pas encore entamé des réflexions sur le RGPD. Pour mémoire en cas d’incident sur les données personnelles, une entreprise peut se voir infliger une amende pouvant aller jusqu’à 4% du chiffre d’affaires. De quoi faire réfléchir…

Crédit Photo: Visual Hunt

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s