Le GDPR permettra à la CNIL, à partir de mai 2018, d'infliger des amendes de 4 % du chiffre d'affaires mondial. Nous n'en sommes pas encore là mais les amendes deviennent d'ores et déjà de plus en plus lourdes. Ainsi, la CNIL vient de communiquer sur une amende infligée à Darty pour des faits antérieurs à son rapprochement avec la FNAC, en février 2017. La cause en est un manque de sécurité dans un formulaire de saisie en ligne. Et l'amende est élevée : 100 000 euros.

Le groupe FNAC-Darty a communiqué en réponse : « Darty a utilisé une solution logicielle fournie par un prestataire tiers (reconnu du marché et par ailleurs prestataire de la CNIL) en mode SaaS (hébergée chez ce prestataire) pour le traitement de son flux de données SAV. Le prestataire a mis en oeuvre, à l'insu de Darty, une fonctionnalité de l'application que Darty n'avait pas sollicitée et n'a donc pas utilisé. Cette fonctionnalité s'est révélée comporter une potentielle faille de sécurité, corrigée par le prestataire depuis. Dans ces conditions et alors que la CNIL n'a constaté aucune fuite de données, nous nous étonnons de cette décision et nous réservons nos droits au titre d'un éventuel recours. »

Le responsable du traitement encore toujours responsable

Si le GDPR permettra d'amoindrir cette responsabilité absolue, pour l'heure, c'est bien le responsable du traitement qui est toujours coupable des manquements et il ne peut pas se dédouaner en invoquant une faute d'un prestataire. Il doit en effet s'assurer que ce prestataire fait correctement son travail. Cette lourde sanction permet de rappeler ce point fondamental.

En l'occurrence, Darty utilise la solution Eptica en SaaS pour gérer les demandes au service après-vente. Cette solution comprend normalement son propre système de formulaire pour les saisies des clients. C'est ce formulaire qui comportait une faille permettant un accès aux données saisies. « Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles » dénonce la CNIL. Par contre, aucune information réellement sensible (cartes bancaires, etc.) n'était concernée.

Un formulaire non-utilisé cause de la faille

Or Darty n'utilisait pas ce formulaire, le distributeur disposant de sa propre interface utilisateur. Ce formulaire aurait donc dû être désactivé. Charme du SaaS, le formulaire, bien qu'inutilisé, restait accessible et exploitable faute d'un filtrage par URL. La CNIL a fait un constat en ligne suite à un « signalement par un tiers ». La CNIL a ensuite opéré un contrôle sur place dans les locaux de Darty qui lui a permis de caractériser le problème et son origine. Lorsque, en Mars 2017, Darty a été informé par la CNIL de la faille, il a remonté l'information à Eptica. La faille a alors été corrigée en dix jours selon FNAC-Darty.

Aucune fuite de données réelle n'a été constatée, insiste le groupe FNAC-Darty. Pourtant, cette faille constitue bien un manquement en matière de sécurité sur les données personnelles, une obligation légale, manquement qui a donc été sanctionné. Contacté par la rédaction, l'éditeur Eptica n'a pas souhaité faire de commentaire pour l'instant, notamment pour confirmer (ou non) que la faille concernait l'ensemble de ses clients.