La Commission nationale de l'informatique et des libertés annonce avoir prononcé une amende de 100 000 € à l'encontre de Darty pour " ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente. "

Dans un communiqué, la Cnil explique qu'une " défaillance de sécurité permettait d'accéder librement à l'ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. "

La faille de sécurité était en rapport avec un formulaire développé par un prestataire commercialisant un logiciel de service après-vente. Pour la Cnil, cela ne décharge pas Darty de son " obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. "

À la suite de deux contrôles, la Cnil avait remarqué que les mesures correctrices adéquates n'avaient pas été mises en œuvre. " Alors même qu'elle avait informé la société de cet incident de sécurité, la Cnil a constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps. Le soir même du second contrôle, la société l'informait des mesures prises pour remédier à cet incident. "

C'est le site Zataz qui avait attiré l'attention sur cette affaire après avoir eu vent d'une fuite de données et activé son protocole d'alerte. Avec le formulaire de service après-vente, un lien hypertexte correspondant au numéro d'enregistrement de la demande permettait d'accéder au suivi du client.

La Cnil dit avoir constaté que l'identifiant du dossier était contenu dans l'URL : http://darty.epticahosting.com/selfdarty/requests.do?id=XXX. " En modifiant le numéro d'identifiant dans cette URL, les fiches de demande de service après-vente remplies par d'autres clients de la société étaient accessibles. "

De fait, des données comme les noms, prénoms, adresses mail et postales, ou numéros de téléphone de clients étaient " potentiellement accessibles. " Pas des données sensibles ou bancaires pour ce risque qui a pu concerner moins d'un million de fiches.

En dépit de la sanction rendue publique, la Cnil souligne notamment que Darty " a réagi dès connaissance de la violation de données en alertant son sous-traitant et qu'il a été mis fin à la violation de données dans un délai raisonnable. "