Actualité juridique

22 janvier 2018

Darty condamné par la Cnil pour une fuite de données personnelles

Darty a été condamné le 8 janvier 2018 par la Cnil à 100.000 € d’amende, en raison d’un manquement de sécurité imputable à son sous-traitant informatique. Cette décision stricte de la Cnil illustre la volonté de sensibiliser tous les opérateurs à leur responsabilité en matière de traitement de données, même lorsque le traitement est confié à un tiers.

Lors du contrôle en ligne du 2 mars 2017, la délégation a constaté que l’URL http://darty.epticahosting.com/selfdarty/register.do renvoyait vers un formulaire permettant aux clients de la société de déposer une demande de service après-vente. Une fois le formulaire obligatoirement renseigné d’une adresse électronique et d’un mot de passe, un lien hypertexte correspondant au numéro d’enregistrement de la demande permettait d’accéder à son suivi. La délégation a constaté que cet identifiant (un numéro de ticket ) est contenu dans l’adresse URL construite de la façon suivante : http://darty.epticahosting.com/selfdarty/requests.do?id=XXX . Elle a relevé qu’en modifiant le numéro d’identifiant dans cette adresse URL, les fiches de demande de service après-vente remplies par d’autres clients de la société étaient accessibles.

Cette « fuite » s’analyse en un manquement à l’obligation de sécurité à la charge du responsable du traitement. Pour sa défense, Darty invoquait le fait que ce manquement était imputable à son sous-traitant. Cependant, la Cnil rappelle dans sa décision que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte (CE 11 mars 2015, Sté Total raffinage marketing et société X, n° 368748).

Il appartenait donc à Darty, en sa qualité de responsable de traitement, de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par la société EPTICA répondaient à l’obligation de confidentialité des données personnelles. Au besoin et en application de règles de bonnes pratiques en matière informatique, il revenait à la société de faire désactiver tous les modules inutilement mis en œuvre par son prestataire.