La Cnil, créée par la loi du 6 janvier 1978, fête ses quarante ans. Un anniversaire marqué par une sanction infligée à Darty. Pour ne pas avoir suffisamment contrôlé un prestataire et donc ne pas avoir assez sécurisé les données personnelles de ses clients, l’enseigne devra payer 100 000 euros d’amende.
La Cnil entame 2018 en infligeant une lourde amende à Darty. L’enseigne d’électroménager est sanctionnée à hauteur de 100 00 euros. Informé en février 2017 d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de Darty, le gendarme des données personnelles se saisit du dossier.
Lors de son enquête, la Cnil constate effectivement une défaillance : il était possible « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente » note l’autorité. En cause, un prestataire de Darty éditeur d’une solution de service après-vente. Celui-ci n’ayant pas mis en place certaines barrières, noms, adresses et numéros de téléphones des clients étaient accessibles.
La sous-traitance ne délivre pas des obligations de sécurité
Mais c’est Darty et non le sous-traitant qui est aujourd’hui condamné. En effet, la Cnil considère que l’enseigne, responsable du traitement, a méconnu ses obligations légales. Même informée, elle a tardé à colmater la brèche. En outre, Darty aurait dû s’assurer que les paramétrages du logiciel ne permettaient pas l’accès libre aux données de ses clients et procéder régulièrement à « la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente ». Or « la formation restreinte a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires » écrit le régulateur.
Ce faisant, Darty a méconnu son obligation de préserver la sécurité des données, y compris lorsque celles-ci sont traitées par un prestataire pour son compte. Ou plus exactement « a fait preuve de négligence dans le suivi des actions de son sous-traitant ». Toutefois la Cnil précise que les données ne sont pas critiques, quoique fort diverses et que Darty a diligenté rapidement un audit de sécurité et a fait preuve de bonne volonté en coopérant à l’enquête. Mais le manquement est grave, d’où cette amende de 100 000 euros.