L’Essentiel : Darty a été sanctionnée par la CNIL à hauteur de 100 000 euros en raison d’une faille de sécurité sur son site. En modifiant un identifiant numérique dans une URL, près d’un million de fiches de demandes de service après-vente sont devenues accessibles en ligne. La société a manqué à son obligation de sécuriser les données personnelles de ses clients, en ne vérifiant pas les caractéristiques de son logiciel de gestion. Malgré la sous-traitance, Darty reste responsable du traitement des données, soulignant l’importance de garantir la sécurité des informations collectées.

100.000 euros pour négligence

Une faille de sécurité sur le site de Darty a abouti à une sanction de 100 000 euros prononcée par la CNIL. En modifiant l’identifiant numérique dans une URL, près d’un million de fiches de demande de service après-vente de clients étaient consultables en ligne.

Sécurité des données personnelles

Darty a manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel traitées dans le cadre de la gestion des demandes de service après-vente de ses clients, en particulier d’empêcher que les données ne soient accessibles à des tiers non autorisés.

En retenant un logiciel standard dit « sur étagère » proposé par son prestataire, il incombait à la société Darty de procéder aux vérifications des caractéristiques de ce produit qui auraient permis d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci.

La vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques.  En outre, il appartenait à la société de procéder de façon régulière à la revue des formulaires de demande de service après-vente accessibles et permettant d’alimenter l’outil de gestion des demandes de service après-vente. Une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

Responsabilité du sous-traitant

Indépendamment du contrat de sous-traitance conclu avec son prestataire informatique, la société Darty est demeurée seule responsable du traitement. En effet, cette dernière a déterminé la finalité du traitement des données collectées via l’URL litigieuse (la gestion du SAV). En outre, les données à caractère personnel du formulaire développé par le prestataire étaient celles des clients de Darty.

Il résulte de l’article 35 de la loi du 6 janvier 1978 modifiée que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte (CE 11 mars 2015, Sté Total raffinage marketing et société X, n° 368748).

Pour rappel au sens du I de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée, « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. »

L’article 35 de la loi précitée dispose que « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

Réflexe juridique

Le client ne dispose pas nécessairement de l’expertise technique pour contrôler les actions de son prestataire en matière de sécurité informatique des données personnelles collectées / traitées. En conséquence, il est conseillé i) de suivre les directives de ce Guide de la sécurité des données nominatives (CNIL) et ii)  de mettre en place un référentiel de sécurité applicable notamment à la programmation / développement de formulaires de collecte des données (valeur contractuelle) sur lequel s’engagera le prestataire. Ce référentiel devra être assorti d’une clause de garantie d’éviction en cas de condamnation du client pour manquement à son obligation d’assurer la sécurité des données personnelles collectées.

Il appartient toujours au responsable du traitement, de s’assurer et de vérifier que toutes les composantes et les options de ses outils informatiques permettant la collecte ou la gestion de données personnelles répondent à l’obligation de confidentialité énoncée à l’article 34 de la loi du 6 janvier 1978. Au besoin et en application de règles de bonnes pratiques en matière informatique, il revient au responsable du traitement de faire désactiver tous les modules inutilement mis en œuvre par son prestataire.

Télécharger 

Q/R juridiques soulevées :

Quelle sanction a été prononcée contre Darty par la CNIL ?

La CNIL a prononcé une sanction de 100 000 euros à l’encontre de Darty en raison d’une faille de sécurité sur son site. Cette sanction fait suite à la découverte qu’en modifiant l’identifiant numérique dans une URL, près d’un million de fiches de demande de service après-vente de clients étaient accessibles en ligne.

Cette situation a mis en lumière des manquements graves aux obligations de sécurité des données personnelles, ce qui a conduit à cette amende significative. La CNIL, en tant qu’autorité de régulation, veille à la protection des données personnelles et à la conformité des entreprises avec les lois en vigueur.

Quelles obligations Darty n’a-t-elle pas respectées concernant la sécurité des données ?

Darty a manqué à son obligation de mettre en œuvre des mesures adéquates pour assurer la sécurité des données personnelles traitées dans le cadre de la gestion des demandes de service après-vente. En particulier, l’entreprise n’a pas réussi à empêcher l’accès non autorisé aux données de ses clients.

L’utilisation d’un logiciel standard, dit « sur étagère », a également été critiquée. Darty aurait dû vérifier les caractéristiques de ce produit pour identifier les risques potentiels, notamment en ce qui concerne l’accès aux données clients.

Des tests élémentaires, comme la vérification des règles de filtrage des URL, auraient dû être réalisés pour garantir la sécurité des systèmes informatiques. De plus, une revue régulière des formulaires de demande de service après-vente était nécessaire pour s’assurer qu’aucune donnée sensible ne soit exposée.

Quelle est la responsabilité de Darty en tant que responsable du traitement des données ?

Darty, en tant que responsable du traitement des données, est entièrement responsable de la sécurité des données personnelles, même si elle a sous-traité certaines opérations à un prestataire informatique. La société a déterminé la finalité du traitement des données collectées via l’URL en question, ce qui la rend responsable des éventuelles violations de sécurité.

Selon l’article 35 de la loi du 6 janvier 1978, le fait de confier des opérations de traitement à des sous-traitants ne décharge pas le responsable de traitement de ses obligations. Darty doit donc s’assurer que toutes les mesures de sécurité sont respectées, même si un tiers est impliqué dans le traitement des données.

Quelles recommandations sont faites aux clients concernant la sécurité des données ?

Il est conseillé aux clients de suivre les directives du « Guide de la sécurité des données nominatives » publié par la CNIL. Ce guide fournit des recommandations sur la manière de protéger les données personnelles collectées et traitées.

De plus, il est recommandé de mettre en place un référentiel de sécurité qui s’applique à la programmation et au développement de formulaires de collecte de données. Ce référentiel doit inclure des clauses de garantie d’éviction en cas de condamnation pour manquement à l’obligation de sécurité.

Les clients doivent également s’assurer que toutes les composantes de leurs outils informatiques respectent les obligations de confidentialité. Cela inclut la désactivation de modules inutilisés pour minimiser les risques de violation de données.

Comment Darty aurait-elle pu éviter cette sanction ?

Darty aurait pu éviter cette sanction en mettant en œuvre des mesures de sécurité robustes dès le départ. Cela inclut la réalisation de tests de sécurité approfondis sur les outils utilisés pour la gestion des demandes de service après-vente.

Une vérification régulière des règles de filtrage des URL et une revue des formulaires de demande de service après-vente auraient également été des pratiques essentielles pour prévenir l’accès non autorisé aux données.

En outre, Darty aurait dû s’assurer que son prestataire informatique respectait les normes de sécurité requises et que toutes les fonctionnalités inutilisées étaient désactivées pour réduire les risques. Une vigilance constante et une mise à jour régulière des systèmes de sécurité auraient pu contribuer à protéger les données des clients.