[Données] La CNIL fait trinquer Ricard

Sur le web

Par Elodie le

La Commission informatique et libertés (CNIL) sanctionne le groupe Ricard pour défaut de sécurité des données de ses clients. Celles-ci étaient toujours accessibles sur le site ricard.com malgré un premier avertissement.

cnil_trinquer_ricard_données
Les Tontons flingueurs -1963

Dans un communiqué publié sur son site, la CNIL explique avoir sanctionné le groupe Riucard pour ne pas avoir suffisamment sécurisé les données personnelles de ses utilisateurs inscrits sur ricard.com.

Après un premier contrôle en ligne effectué en juillet dernier sur le site du groupe, qui a notamment pour but de proposer des programmes de fidélité, la CNIL a « pu librement accéder à plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients ».

Des données qui ne faisaient l’objet d’aucune mesure de sécurité particulière permettant d’empêcher leur accès à des personnes non autorisées. Ce qui constitue un manquement à son obligation légale prévu par l’article 34 de la loi informatique et libertés.

Alerté sur cette faille, le groupe a alors assuré avoir colmaté la brèche. Pas suffisamment puisque les contrôleurs de la CNIL ont pu accéder à ces mêmes données lors d’un second contrôle inopiné en novembre 2015, « en interrogeant les URL d’accès direct aux fichiers litigieux ».

La CNIL a donc sévi et prononcé un avertissement public à l’encontre de la société dans le cadre de la procédure de sanction engagée par sa présidente.

La Commission justifie cette sanction publique par « le nombre et la nature des données concernées », mais aussi par la nécessité « de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées » et la « persistance » du manquement constaté.

Toutefois, la CNIL précise n’avoir constaté aucun préjudice pour les personnes concernées. La faille a depuis été corrigée et les données ne sont plus accessibles sur Internet.

Source: Source