Il ne manquait plus que ça
La Commission nationale de l'informatique et des libertés (Cnil) a prononcé un avertissement public lisible sur son site à l'encontre du fabricant de pastis Ricard (Pernod Ricard) car des données de ses clients étaient accessibles librement sur internet.
En réalisant le 9 juillet 2015 un contrôle en ligne du site
www.ricard.com, qui a pour objet de proposer aux clients d'adhérer à un programme de fidélité et de commander des objets promotionnels, la Commission a relevé que les mesures garantissant la confidentialité des données des clients étaient «insuffisantes».
Noms, adresses ou numéros de téléphone n'étaient pas protégés
Les contrôleurs de la Cnil ont en effet pu accéder librement à plusieurs milliers de données contenues dans les répertoires du site web, dont les noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone et des informations relatives aux cartes bancaires des clients. Certains de ces répertoires, bien qu'exclus d'une indexation sur internet, «ne faisaient pas l'objet de mesure de sécurité particulière permettant d'en restreindre l'accès alors qu'ils contenaient de nombreuses données personnelles a souligné la Cnil.
Immédiatement informé de cette faille de sécurité, Ricard a indiqué avoir bloqué l'accès aux données par l'intermédiaire de son hébergeur, raconte-t-elle. Mais un second contrôle, le 27 novembre 2015, a montré que les données étaient toujours accessibles, en interrogeant les adresses URL d'accès direct aux fichiers litigieux.
Pernod-Ricard encourait une amende de 150.000 euros
La Cnil a donc engagé une procédure de sanction, à l'issue de laquelle un «avertissement public» a été prononcé. La société encourait une amende de 150.000 euros. La «formation restreinte», chargée de juger ce genre d'affaires, a notamment estimé que Ricard a manqué à son obligation de veiller à la sécurité et la confidentialité des données nominatives.
Le fait d'avoir sous-traité l'hébergement de son site web et la gestion de son contenu à des prestataires extérieurs ne l'exonérait pas de ses obligations légales, a-t-elle également noté, ajoutant que l'absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement. La Cnil précise que Ricard a, depuis, corrigé cette faille de sécurité, et que les données ne sont plus accessibles sur internet.