La CNIL inflige une sanction à Ricard pour défaut de sécurité |
La CNIL vient de publier un avertissement public contre Ricard pour défaut de sécurisation des données d’un programme de fidélité accessible sur le web.
Voilà une publicité dont Ricard se serait bien passé mais la sanction est cependant bien légère. La CNIL vient en effet de sanctionner le distributeur de produits alcoolisés pour un programme de fidélité présenté sur son site web. Les données personnelles des membres de ce programme n’étaient en effet pas protégées. L’autorité administrative indépendante, constatant l’absence de préjudice réel et la correction du problème, n’a cependant pas sanctionné très durement l’entreprise puisqu’elle lui a juste infligé un avertissement public par une décision du 21 avril 2016 publiée le 24 mai. Concrètement, les données personnelles (noms, prénoms, dates de naissance, moyens de paiements, achats opérés, adresses électroniques, téléphones…) étaient stockées dans un répertoire du site web qui n’était ni bloqué en accès (par un .htaccess par exemple) ni crypté. La seule précaution prise était une demande de désindexation du répertoire dans les moteurs de recherche via une instruction dans le robot.txt. Donc, une simple lecture durobot.txt, par nature en clair, permettait de savoir où chercher des informations intéressantes…
Incompétence du prestataire, indifférence du responsable de traitement Après un premier contrôle opéré le 8 juillet 2015, la CNIL prévient Ricard du problème. La société déclare avoir effectué le nécessaire en le commandant à son prestataire, information confirmée par un courrier du 23 juillet. Or, le 27 novembre 2015, un nouveau contrôle aboutit au constat que, certes, l’affichage du contenu du répertoire indiqué dans lerobot.txt n’est plus possible mais l’accès en lecture aux URL directes des fichiers l’est toujours ! Un nouveau procès-verbal d’infraction lui est donc adressé le 4 décembre 2015, notification à l’origine de la procédure dont nous parlons ici. Le site web a finalement été refondu pour être à l’état de l’art en matière de sécurité. Cette affaire est l’occasion de plusieurs rappels intéressants. Tout d’abord, pour la CNIL, le seul et unique responsable est et demeure l’entreprise qui ordonne la création et maîtrise le traitement de données. Cette entreprise ne peut en aucun cas se défausser sur un prestataire. C’est au commanditaire de bien vérifier la mise en place des mesures obligatoires. Mais, et c’est induit, le commanditaire, responsable du traitement, doit effectivement commander et vérifier la mise en place des telles mesures.
Une mise en cause du prestataire délicate La délibération de la CNIL ne mentionne pas le sous-traitant en cause. Une porte-parole de la CNIL précise : « pour l’instant, le seul responsable pour nous est Ricard en tant que responsable du traitement même si, avec le nouveau Règlement Européen, la place du prestataire va évoluer. » Le groupe Pernod-Ricard, sollicité par la rédaction, n’a pas encore officialisé une réaction ni précisé quel était le prestataire en cause. Mais encore faudrait-il que la faute puisse être caractérisée et prouvée. En effet, les attentes en matière de sécurité doivent être spécifiées contractuellement pour qu’un manquement soit caractérisé. Et les instructions du commanditaire, Ricard en l’occurrence, ne doivent pas être contraires directement ou indirectement aux bonnes pratiques. En général, ce genre d’affaires se règle discrètement dans les bureaux des entreprises concernées et il est peu probable que le résultat de ces palabres ne soit un jour connu. MISE À JOUR : COMMUNIQUÉ DE RICARD
En réponse à notre sollicitation, Ricard nous a fait parvenir un communiqué laconique, sans citer le prestataire mis en cause, mais insistant sur les limites du manquement relevé par la CNIL. « Suite à la délibération de la CNIL du 21 avril 2016 prononçant un avertissement à l’encontre de la société Ricard pour son site internet Ricard.com, la société Ricard prend acte de cette décision et précise, comme le rappelle la CNIL, que la faille de sécurité identifiée a été corrigée sur le site existant. La société Ricard entend préciser que les données étaient exclues d’une indexation sur Internet et n’ont donc jamais été accessibles par des moteurs de recherche. La société Ricard confirme en outre avoir développé un nouveau site Ricard.com qui sera mis en ligne début juin et qui répond également aux normes de sécurité ». Article de Bertrand Lemaire
|
Source : La CNIL inflige une sanction à Ricard pour défaut de sécurité – Le Monde Informatique
Aucun commentaire jusqu'à présent.