DS Avocats : société d’avocats d’affaires spécialisés

 

manta accueil

Manta Consulting: L'expertise des risques numériques.

 

 

Normand Yves Consulting

 

 

 

Normand Yves Consulting: cabinet de conseil et de formation 

 

La formation restreinte de la CNIL a sanctionné la société DHL en raison d’un défaut de sécurité ayant affecté la confidentialité de plusieurs centaines de milliers de fiches de clients.

Alertée sur une potentielle faille de sécurité affectant les données des clients de la société DHL, la CNIL a effectué un contrôle sur place le 19 février 2014. A cette occasion, elle a relevé que 684 778 fiches clients de la société, qui sollicitaient la « relivraison » de leur colis, étaient librement accessibles sur Internet. Ces fiches comportaient : l’identité, l’adresse, les numéros de téléphone et adresses électroniques des personnes concernées ainsi que certaines informations détaillées permettant de faciliter la livraison des colis, telles que les indisponibilités pour raisons de santé ou la sécurisation des accès aux logements. La société a indiqué que cette faille concernait l’application informatique dédiée à la « relivraison » des colis et a justifié, le 28 février 2014, avoir adopté des mesures correctives rendant inaccessibles les données litigieuses. Malgré cette régularisation, les faits constatés ont conduit à initier une procédure de sanction qui s’est conclue, le 12 juin 2014, par le prononcé d’un avertissement public à l’encontre de la société. La formation restreinte de la CNIL a notamment retenu que, les milliers de données, dont certaines relèvent de l’intimité des personnes, étaient très facilement et très largement accessibles car elles étaient référencées dans un moteur de recherche. Elle a également relevé que bien qu’ayant eu connaissance d’une faille affectant les accès internes de l’application litigieuse, DHL n’avait pour autant entrepris aucune démarche de vérification de la sécurité de l’ensemble de l’application qui lui aurait permis d’isoler la fuite de données. La formation restreinte a rappelé que la société demeurait responsable de traitement quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application. Il a enfin été retenu que la société n’avait pas défini de durée de conservation adaptée à la finalité de son traitement de « relivraison » des colis dans la mesure où les fiches clients les plus anciennes dataient de 2007. Du fait du nombre de personnes concernées et de la nature des données rendues librement accessibles, l’avertissement a été rendu public.

Pour plus d'informations: cliquer ici