Publicité

Données personnelles : la CNIL sanctionne les fuites de Ricard.com

Le

  • Le site ricard.com fait la promotion de boissons alcoolisées (Visual Hunt).jpg

    Le site ricard.com use de données personnelles pour faire la promotion de boissons alcoolisées (illustration Visual Hunt)
    Le site ricard.com use de données personnelles pour faire la promotion de boissons alcoolisées (illustration Visual Hunt)

    • Comme il était facile, pour n'importe quel internaute, de savoir qui étaient les plus fidèles consommateurs de Ricard, de connaître leurs adresses, le nom de leurs banques et les sommes dépensées !

    Malgré un chiffre d'affaires de plus de 500 millions d'euros, il aura fallu presque un an pour que Ricard réussisse à sécuriser les données de ses 1000 membres inscrits au programme de fidélité « Place Ricard ».

    C'est le 9 juillet 2015 que la Commission nationale de l'informatique et des libertés (CNIL) s'est aperçue pour la première fois que ces données étaient accessibles facilement. Rien n'avait changé au 21 avril 2016.

    Des noms et coordonnées dans le vent

    Le site ricard.com propose aux internautes de s'inscrire à un programme de fidélité en communiquant leurs noms, dates de naissance et adresses de courriel. Puisqu'il y est question d'acheter des produits en ligne, les utilisateurs étaient aussi amenés à verser leurs adresses postales et numéros de téléphone.

    Certaines pages du site présentaient toutes ces données en libre accès, complétées par des informations de paiement confidentielles.

    Ces pages n'étaient pas indexées par les moteurs de recherche, mais leurs URL étaient spécifiées dans le fichier robot.txt qui sert à donner des consignes à Google et à ses confrères (et est, lui, en libre accès). La CNIL n'a eu qu'à entrer ces adresses directement dans un navigateur et le tour était joué.

    Un processus long mais efficace

    La CNIL commence alors par une série de notifications à l'entreprise Ricard, exploitante du site ricard.com, en juillet puis en novembre 2015. Elle considère que Ricard est tenue responsable de la sécurité des données de ses utilisateurs, et non l'hébergeur du site qui ne délivre qu'une prestation technique.

    Face à l'absence de réaction suffisante du distributeur de boissons alcoolisées, et après avoir entendu ses représentants en audience à huit clos, la CNIL prononce une légère sanction à son encontre le 21 avril 2016.

    La CNIL s'est engagée à rendre sa décision publique. Une sanction apparemment suffisante puisque la faille de sécurité a été réglée par le groupe entre avril 2016 et la publication officielle de la CNIL survenue le 24 mai.

    Des données protégées par le droit commun

    En revanche, pas d'amende pour Ricard, car aucune malversation ne semble avoir été commise par un tiers à l'aide de ces données personnelles.

    Depuis l'affaire Laurelli/Bluetouff-Anses, la jurisprudence française prévoit des sanctions en cas d'accès par un internaute à des documents et informations confidentiels même si ceux-ci sont en accès libre. L'affaire devrait être portée devant la Cour européenne des droits de l'homme.

    Sur le même sujet: 
    Données personnelles : ce qui se cache derrière vos applications...
    Données personnelles : chacun va devenir le trader de ses propres données
    maitrisez-donnees-organisation

    Ce sujet vous intéresse? Retrouvez-en davantage dans le magazine Archimag !

    Archimag numéro 354 :
    Maîtrisez les données de votre organisation

    Consulter le sommaire

    Ce sujet vous intéresse? Retrouvez-en davantage dans le magazine Archimag !

    maitrisez-donnees-organisation
    Difficile aujourd’hui de tirer de la valeur de son capital informationnel par le seul biais du document. La multiplication des flux, les facilités de création et de stockage plongent les  organisations dans l’ère du big data où se mêlent tous types de données, structurées et non structurées, y compris personnelles, accompagnées de leurs métadonnées
    Acheter ce numéro  ou  Abonnez-vous
    Ce sujet vous intéresse? Retrouvez-en davantage dans les Guides Pratiques Archimag !
    droit-information
    Gouvernance de l’information, données personnelles, propriété intellectuelle… Le droit de l’information est omniprésent. Les textes de référence peuvent être anciens ; parallèlement, internet et le numérique conduisent à une production importante de nouvelles législations françaises ou européennes. Les nouvelles questions juridiques sont pléthore : protection des données à caractère personnel (RGPD), réforme du droit d’auteur, text et data mining, blockchain… Avec la legaltech, l’industrie du droit est en plein renouvellement. Ce guide pratique décrypte toutes ces questions, permettant aux organisations de se mettre à jour et aux documentalistes d’assurer une veille juridique complète. Pour ces professionnels, de nombreux développements sont consacrés aux questions découlant du respect du droit d’auteur - jusqu’à celle du scraping de données -, véritable pivot juridique de la pratique documentaire. Sont aussi abordés des sujets de droit propres au document numérique : preuve, copie, signature, lettre recommandée, coffre-fort... Avocats, juristes et spécialistes interviennent dans cette cinquième édition et délivrent avertissements et conseils pratiques.
    Acheter ce guide  ou  Abonnez-vous
    0 Commentaire
    données personnelles
    Cnil
    À lire sur Archimag
    Les podcasts d'Archimag
    C'est le montant total des pénalités infligées aux entreprises en 2022 - et à l'échelle internationale - pour le non respect du RGPD.
    Lire la suite...