L’incident remonte au mois de février 2017 lorsque la CNIL a été informée par un site internet spécialisé dans la sécurité des systèmes d’information de l’existence d’une défaillance de sécurité concernant le traitement des demandes de service après-vente (SAV) des clients de la société Darty et, effectivement, à l’occasion d’un contrôle en ligne réalisé début mars 2017, les équipes de la CNIL ont pu constater la défaillance qui permettait d’accéder « librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente », précisant que plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient accessibles.

Un contrôle sur place, réalisé quinze jours plus tard, a révélé que le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par un prestataire commercialisant un logiciel de service après-vente « sur étagère » et lors du contrôle, Darty a indiqué avoir recours à un autre formulaire distinct et ne plus utiliser celui à l’origine de l’incident.

Des vérifications postérieures ont toutefois permis de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n’avaient pas été désactivées et il s’est également révélé que le prestataire n’avait pas mis en place de filtrage des adresses URLs, qui aurait permis d’empêcher à des tiers non autorisés d’accéder aux données des clients contenues dans l’outil de gestion des demandes de service après-vente via le formulaire défectueux.

Alors que Darty avait été informé de cet incident de sécurité, il a été constaté que les fiches des clients demeuraient accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps et ce n’est qu’à ce stade que Darty a pris des mesures pour remédier à l’incident, ce qui justifie qu’une procédure de sanction a été initiée.

Pour prononcer une sanction d’un montant de 100 000 euros, la formation restreinte de la CNILCNIL, 8 janv. 2018, n° SAN-2018-001, société Établissements Darty et Fils devenue société Fnac Dary. a retenu que la société avait « manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés » et que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son l’obligation de « préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement ».

La société aurait en effet dû, souligne la CNIL, s’assurer « préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients » car cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être « réalisés par une société en matière de sécurité des systèmes d’information ».

En sa qualité de responsable de traitement, il incombe à la société Darty, rappelle la CNIL, de procéder « de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente » et une bonne pratique en matière de sécurité des systèmes informatiques consiste à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires » mais il a néanmoins été tenu compte de « l’initiative du responsable de traitement de diligenter un audit de sécurité après cette atteinte à la sécurité des données » ainsi que de sa « bonne coopération » avec les services de la CNIL.