Darty s’est fait taper sur les doigts par la Commission nationale de l’informatique et des libertés (CNIL) concernant la protection des données de ses clients. Les données en question concernent le service après-vente.
La CNIL explique qu’une faille de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données (comme les noms, prénoms, adresses postales, adresses de messagerie ou numéros de téléphone des clients) étaient potentiellement accessibles. Le formulaire en ligne a été développé par un prestataire.
Mais il y a un problème : la CNIL dit avoir fait des vérifications qui ont permis de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n’avaient pas été désactivées. Elles ont également révélé que le prestataire n’avait pas mis en place de filtrage des adresses URL. De plus, les fiches des clients étaient toujours accessibles entre le premier et le second contrôle, alors que Darty avait été alerté de la faille.
Suite aux problèmes (qui sont corrigés depuis), la CNIL a prononcé une sanction de 100 000 euros à l’encontre de Darty suite à son manque d’obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés. La CNIL ajoute que Darty aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients, même si le formulaire a été développé par un prestataire.
