La CNIL a adressé hier un avertissement public à l’encontre de Ricard. Le célèbre fabricant de boissons marseillais a été épinglé pour défaut de sécurisation.

Tout est parti d’une simple analyse du fichier Robots.txt de Ricard.com, plateforme promotionnelle de la fameuse marque. Placé à la racine des sites, c’est lui qui exclut l’indexation des pages par les moteurs.

Sauf que pour le cas de l’entreprise marseillaise, la CNIL n’a eu ni à pointer ni à tirer. Elle s’est contentée de coller le nom des répertoires interdits aux moteurs à la suite de « http://www.Ricard.com/ » pour découvrir alors des ressources dont l’accès aurait dû être restreint. Et pas si loin du Frioul, la pêche a été bonne : dans ses filets, ce sont des milliers de données à caractère personnel et bancaires (date, montant, statut de la transaction, moyen de paiement, adresse associée) qui ont été remontées.

Une sardine dans le port RJ45

Une première alerte de la CNIL n’a visiblement pas suffi, malgré l’assurance de l’éditeur du site d’avoir pris les mesures adéquates auprès de son sous-traitant. Lors d’un second contrôle en novembre 2015, la Commission a certes remarqué « qu’il n’était plus possible d’afficher le contenu des répertoires litigieux », mais sa satisfaction n’a duré que le temps d’un apéro : la délégation dépêchée sur place « a pu consulter les fichiers contenant les données nominatives en recomposant l’URL d’accès direct dont elle avait eu connaissance lors du précédent contrôle. »

En somme, des répertoires bien planqués, mais des fichiers toujours accessibles pour qui en connaissait l'emplacement exact. Au passage, les agents ont aussi pu mettre la main sur des données de cartes bancaires (numéros tronqués et date de validité)...

Tu me fends le cœur de réseau

La procédure de contrôle s’est du coup transformée en procédure de sanction, que la société Ricard a essayé de diluer sous des litres de justifications aromatisées.

D’un, que la Bonne-Mère en soit témoin, elle a fait appel à des professionnels reconnus dans le secteur, satisfaisant ainsi son obligation de moyen. Réponse de la CNIL : le passage par un sous-traitant n’exonère en rien le responsable de ses obligations. N’encombrez-pas la Cannebière et circulez, s.v.p.

Telle une boisson d'eau douce, l’entreprise a encore rétorqué que « les manœuvres utilisées [par la CNIL] pour accéder aux données lors des deux missions de vérifications étaient particulièrement complexes de sorte que [les données collectées] n’étaient pas librement accessibles du public ». Une solide levée de coude qui n’a pas fait un pli sur la table de l’autorité indépendante : « la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité ».

Dernière cacahuète : dégun n’a subi de préjudice ! Entre les murs de la CNIL, on a pu entendre ce « plouf » caractéristique du glaçon inutile : cette circonstance est étrangère aux conditions du manquement. Circulez, on vous dit.

Au final, la Commission a bien pris note que la société avait tout colmaté. Mieux, elle déploie actuellement un nouveau site web « doté de mesures de sécurité conformes à l’état de l’art ». C'est bien... mais au moment des vérifications, il y avait bien une paille faille. Ricard écope aussi d’un avertissement rendu public, ce qui, dans le paysage du web, est plus douloureux que tout. La décision est évidemment susceptible de recours, cong. 

• La délibération de la CNIL (PDF)