La Commission Nationale de l’Informatique et des Libertés (la Cnil) a été informée de lexistence dun incident de sécurité concernant le traitement des demandes de service après-vente des clients de la société Darty.
La Cnil a pu constater quune défaillance de sécurité permettait daccéder librement à lensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles.
Le 8 janvier 2018, la formation restreinte de la Cnil a prononcé une sanction dun montant de 100.000 , estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de larticle 34 de la loi Informatique et Libertés. La formation restreinte a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.
La société aurait dû sassurer préalablement que les règles de paramétrage de loutil mis en uvre pour son compte ne permettaient pas à des tiers non autorisés daccéder aux données des clients. Cette vérification préalable dabsence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes dinformation.
La formation restreinte relève que la société a fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis laccessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients. Toutefois, la société a réagi dès quelle a eu connaissance de la violation de données en alertant son sous-traitant et il a été mis fin à la violation de données dans un délai raisonnable. Elle relève également que la société a pris linitiative, après la survenance de la violation de données, de faire procéder à un audit de sécurité sur la nouvelle version de loutil de gestion des demandes de service après-vente proposé par son prestataire. Elle note, enfin, sa bonne coopération avec la Commission.
Ainsi, la Cnil estime au regard de ces éléments quune sanction dun montant de 100.000 apparait proportionnée.