Le début de l’année commence mal pour Darty. En effet, l’enseigne spécialisée dans l’électroménager et l’informatique grand public vient de recevoir une sanction de la Commission nationale de l’informatique et des libertés pour des « manquements à la sécurité et à la confidentialité ». Montant de l’amende que l’entreprise va devoir régler ? 100 000 euros.
La décision de sévir contre Darty a été prise « en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées », commente la formation restreinte, qui qualifie la situation de « grave ». Cependant, Darty conserve la possibilité de faire appel cette décision devant le Conseil d’État.
C’est d’ailleurs la perspective que l’entreprise suggère dans une réaction : « nous nous étonnons de cette décision et nous réservons nos droits au titre d’un éventuel recours », car la Cnil « n’a constaté aucune fuite de données » et que le prestataire a mis en oeuvre, « à l’insu de Darty, une fonctionnalité de l’application que Darty n’avait pas sollicitée et n’a donc pas utilisée ».
Darty a fait preuve de négligence dans le suivi des actions de son sous-traitant
Publiée au Journal officiel, la sanction rappelle en particulier que Darty endosse le rôle de responsable de traitement et qu’à ce titre, il lui appartient « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par [son sous-traitant] répondaient à l’obligation de confidentialité énoncée à l’article 34 de la loi précitée ».
Il aurait donc fallu, poursuit la délibération de la Cnil, que Darty fasse « désactiver tous les modules inutilement mis en œuvre par son prestataire », car il s’agit d’une « bonne pratique en matière de sécurité des systèmes informatiques » que de mettre à l’arrêt les modules ou les fonctionnalités d’un outil qui ne sont pas requis ou employés, afin de réduire l’exposition aux risques, quels qu’ils soient.
Or, continue l’autorité, ses enquêteurs « ont pu accéder aux demandes de service après-vente formulées par les clients de la société, confirmant ainsi le défaut de sécurisation signalé par un tiers ». Or dans la loi, «une violation de données est réalisée dès lors que des données à caractère personnel ont été rendues accessibles, volontairement ou non, à des tiers non autorisés », rappelle-t-elle.
La formation restreinte tient toutefois à faire remarquer que si des données à caractère personnel ont pu être vues, celles-ci ont degré de criticité relativement modéré.
Il ne s’agit en effet ni de données bancaires ni de données au sens de l’article 8 de la loi du 6 janvier 1978 modifiée, c’est-à-dire les données relatives aux origines ethniques, aux opinions politiques, philosophiques et religieuses, à l’appartenance syndicale, à la santé et à la sexualité. En l’espèce, la collecte ou le traitement de ces données sont strictement interdits.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
