Dans un communiqué publié sur son site, la CNIL explique avoir sanctionné le groupe Riucard pour ne pas avoir suffisamment sécurisé les données personnelles de ses utilisateurs inscrits sur ricard.com.
Après un premier contrôle en ligne effectué en juillet dernier sur le site du groupe, qui a notamment pour but de proposer des programmes de fidélité, la CNIL a « pu librement accéder à plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients ».
Des données qui ne faisaient l’objet d’aucune mesure de sécurité particulière permettant d’empêcher leur accès à des personnes non autorisées. Ce qui constitue un manquement à son obligation légale prévu par l’article 34 de la loi informatique et libertés.
Alerté sur cette faille, le groupe a alors assuré avoir colmaté la brèche. Pas suffisamment puisque les contrôleurs de la CNIL ont pu accéder à ces mêmes données lors d’un second contrôle inopiné en novembre 2015, « en interrogeant les URL d’accès direct aux fichiers litigieux ».
La CNIL a donc sévi et prononcé un avertissement public à l’encontre de la société dans le cadre de la procédure de sanction engagée par sa présidente.
La Commission justifie cette sanction publique par « le nombre et la nature des données concernées », mais aussi par la nécessité « de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées » et la « persistance » du manquement constaté.
Toutefois, la CNIL précise n’avoir constaté aucun préjudice pour les personnes concernées. La faille a depuis été corrigée et les données ne sont plus accessibles sur Internet.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“La CNIL a donc sévi et prononcé un avertissement public”
Terrible sanction ! surtout que personne n’en a entendu parlé.
Vu la gravité de la chose et qu’un avertissement avait déjà été donné on peut considérer que la CNIL n’a rien de dissuasif ni de coercitif.
Les société peuvent donc continuer à se foutre de leurs clients en ne respectant pas les règles de sécurité des données.
C’est cool, la CNIL fait des audits de sécurités gratos.
Bon à savoir.
Tiens, ça me rappelle les testeurs de win10… alors ça avance ? Vous l’avez DL ? Encore beaucoup de bugs ou bien ?