Nous joindre par : 0890 797 132*
cnil darty

La CNIL condamne à 100.000€ d’amende Darty à la suite d’une fuite de données

La CNIL condamne l’entreprise DARTY à 100.000€ d’amende pour négligence dans le suivi des actions de son sous-traitant. Souvenez-vous, nous sommes en mars 2017. Je vous expliquais l’action de la société Darty à l’encontre d’une fuite d’informations concernant un certains nombre de clients. Sept mois plus tard, la CNIL rend son verdict.

La CNIL, ce 8 janvier 2018, a délibéré sur le cas de l’entreprise Darty. En février 2017, ZATAZ lançait un protocole d’alerte à l’encontre de cette entreprise à la suite de la découverte d’une fuite de données conséquente. Un mail envoyé aux clients. Dedans, un lien et un identifiant sous forme de chiffre, dans l’adresse web. Des chiffres qui pouvaient être modifiés. La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente [Protocole d’alerte ZATAZ n’270220171950]. Bilan, des milliers de messages étaient accessibles, très simplement, en modifiant l’url de la requête. Le numéro client permettait d’accéder aux questions/réponses entre l’internaute et la SAV Darty. J’avais pu constater à l’époque jusqu’à 911.004 interactions ! Pour les clients, aucunes données bancaires n’étaient accessibles, mais des adresses mails, des numéros de téléphone et des identités [noms, prénoms] et dans certains cas le numéro de la carte client.

Demain, le RGPD

Des informations largement suffisantes pour un escroc souhaitant cibler ses victimes. Si Darty n’était pas le fautif premier, c’est son prestataire de service qui n’avait pas correctement protégé son outil [cela concernait d’ailleurs d’autres entreprises partenaires, NDR], le spécialiste de l’électroménager a été condamné par la Commission Informatique et des Libertés pour “négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients” dixit la grande dame.

A quelques mois de la mise en place du RGPD (Règlement Général sur la Protection des Données), n’oubliez pas que vos partenaires sont aussi à éduquer (contrat, charte, contrôle, …) au risque d’être pris dans la même nasse juridique en cas de problème.

En un an, la CNIL a pu avertir et/ou condamné, entre autres, le Parti Socialiste, Optical Center, OuiCar, Hertz France… grâce au Protocole ZATAZ. Sur la même période, plus de 20 cas ont été remontés à la Grande Dame en charge de la protection des données privées des Français par l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information”. Pour rappel, le Protocole d’Alerte de ZATAZ est totalement bénévole, gratuit et sans but lucratif.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Spécialiste des sujets cybercriminalité / cybersécurité. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ...). Premier article en 1989 dans le mensuel "Amstar & CPC". Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Ecole Européenne de Guerre Économique Versailles. Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC).

Articles connexes

  1. bruch Reply

    bonjour,

    Comment peut-on savoir si nos données clients sont concernées et quelles sont elles ?

    Merci

    • Damien Bancal Reply

      Les données concernent toutes les personnes passées par le SAV (via le web). Les données en question sont expliquées dans l’article.

  2. Comette Reply

    Bonjour
    Tout cela ne rassure pas sa baht qu’à ce jour presque tout ou parti des commerçants nous impose la création d’un compte
    On a beau s’inscrire avec un mail « secondaire » le reste des infos (adresse postale, tél, nom, prénom etc..) demeurent justes
    Auriez vous des astuces à ce sujet ou des conseils de précaution à mettre en place ?
    Merci pour vos commentaires
    Cdt
    Comette

    • Damien Bancal Reply

      Bonjour,
      J’avoue que pour le téléphone, l’adresse postale, cela devient très compliqué.
      De mon côté, mais cela a un coût : boite postale, téléphone dédié, …
      Il est important aussi de regarder si demander l’adresse postale est pertinent.
      Pour ce qui est des livraisons de colis, par exemple :
      – Dépôt boutique
      – Poste restante
      Pour les mails, le site jetable.org est particulièrement utile.

Laisser un commentaire

*