Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant
Justice

La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant

Cépamoicélui
4 min

Darty, le spécialiste de l’électroménager, s’est vu reprocher une mauvaise sécurisation de l’interface client dédiée au service après-vente. Un formulaire certes géré par son sous-traitant n’a pu se dédouaner de sa responsabilité aux yeux de la CNIL.

Lors du contrôle en ligne réalisé en mars 2017, une délégation de la CNIL alertée visiblement par Zataz a constaté qu’après avoir rempli un formulaire de service après-vente, le site officiel produisait un lien hypertexte « correspondant au numéro d’enregistrement de la demande ». Seul hic : l’identifiant du dossier était intégré dans l’adresse URL correspondante :

http://darty.epticahosting.com/selfdarty/requests.do?id=XXX

En modifiant la dernière variable, il était alors possible de prendre connaissance des fiches remplies par d’autres clients de la société.

Selon la CNIL, qui a fait publier sa décision hier au Journal officiel, 912 938 fiches étaient alors potentiellement accessibles. À titre de vérification, elle a d’ailleurs téléchargé un échantillon de 7 417 d’entre elles pour constater la présence de données personnelles telles que le nom des clients, leurs « prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes ».

Après signalement, Darty  a contacté le 6 mars la société EPTICA, son prestataire, « afin qu’elle prenne les mesures nécessaires ». Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ». Nouveau contrôle de la délégation de la CNIL qui a constaté cette fois un accès à 918 721 fiches.

Une URL qui « appartient » au sous-traitant

Cet article est réservé aux Abonnés et membres Premium

Déjà abonné ?

Publiée le 09 janvier 2018 à 11:19


Chargement des commentaires