La Commission nationale de l'informatique et des libertés (Cnil) a annoncé mardi avoir infligé une amende de 100.000 euros au groupe Darty pour "ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente".
Faille de sécurité. Une faille de sécurité permettait d'accéder librement aux données renseignées par les clients et ces informations étaient restées accessibles après un premier contrôle de la Cnil, explique l'organisme dans un communiqué.
Un million de fiches. La Cnil avait été informée en février 2017 par un éditeur en ligne "spécialisé dans la sécurité des systèmes d'information" de cette faille, selon sa délibération publiée au Journal officiel. En mars, l'Autorité découvre lors d'un contrôle en ligne que près d'un million de fiches étaient "potentiellement accessibles", avec des données telles que les noms, prénoms, les adresses postales, les adresses de messagerie électronique ou encore les commandes des clients. Ce premier contrôle sera suivi quinze jours plus tard par un second effectué sur place. Entre temps, "les fiches des clients étaient toujours accessibles", a souligné la Cnil, et "de nouvelles fiches avaient été créées dans ce laps de temps". Le formulaire de demande de service après-vente à l'origine de la faille de sécurité était développé par un sous-traitant de Darty, a-t-elle précisé. Mais cela ne "décharge" par le groupe français "de son obligation de préserver la sécurité des données traitées pour son compte", rappelle t-elle.
Un recours de Fnac-Darty au Conseil d'Etat. Selon la Cnil, Darty "aurait dû" préalablement vérifier que les règles de paramétrage de l'outil protégeait les données des clients, une vérification qui fait partie selon elle "des tests élémentaires qui doivent être réalisés par une société". "A ce stade, nous nous réservons le droit de déposer un recours devant le conseil d'Etat", a réagi un porte-parole du groupe Fnac Darty.