Données personnelles Darty écope d’une sanction de 100 000 €

Données personnelles

Darty écope d’une sanction de 100 000 €

Publié le : 11/01/2018 

Darty ne protège pas suffisamment les données personnelles de ses clients. Un contrôle de la Cnil (Commission nationale de l’informatique et des libertés) a révélé que les noms, prénoms, adresse postale, e-mail, numéro de téléphone de plusieurs centaines de milliers de clients étaient potentiellement accessibles. Darty écope d’une amende de 100 000 € pour ce défaut de sécurisation.

 

Si vous avez effectué une demande en ligne de service après-vente chez Darty, certaines de vos données personnelles ont sans doute été accessibles sans aucune protection. Lors d’un contrôle réalisé en mars 2017, la Cnil (Commission nationale de l’informatique et des libertés) a en effet constaté qu’il suffisait de saisir une adresse dans la barre de n’importe quel navigateur Internet pour consulter le formulaire de demande de réparation ou de réclamation. Ce formulaire contient les noms, prénoms, adresse postale, adresse de messagerie électronique et même les dernières commandes des clients de l’enseigne. « L’identifiant du client est contenu dans l’adresse URL de suivi de l’intervention, construite sous la forme http://darty.epticahosting.com/selfdarty/requests.do?id=XXX. En modifiant le numéro d’identifiant dans cette adresse URL, les fiches de demande de service après-vente remplies par d’autres clients de la société étaient accessibles », peut-on lire dans la délibération de la Cnil (1). Au total, 912 938 consommateurs sont concernés.

 

Darty réfléchit à un recours devant le Conseil d’État

Chez Darty, qui avait déjà laissé fuiter des devis de clients il y a quelques mois, cette sanction est jugée très sévère. « Rien ne permet d’affirmer que des données ont effectivement fuité, nous n’avons reçu aucune plainte. De plus, la faille, rapidement réparée, provenait de notre prestataire de gestion des demandes de SAV, Eptica », explique un porte-parole de l’enseigne. Comprenez en filigrane qu’à quelques mois près, c’est le prestataire qui aurait pu être sanctionné à la place de Darty. Aujourd’hui, en effet, en matière de données personnelles, le « responsable de traitement » (ici Darty) porte l’entière responsabilité du respect de la loi. Mais demain, avec l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD) en mai 2018, les responsabilités seront partagées avec les prestataires qui gèrent les bases de données (ici Eptica). Darty réfléchit à un recours devant le Conseil d’État.

(1) Délibération SAN-2018-001 du 8 janvier 2018.