La Commission nationale de l’informatique et des libertés (CNIL) vient d’infliger un simple avertissement public au transporteur DHL. L’institution s’était aperçue que suite à une faille de sécurité, les données personnelles de plusieurs centaines de milliers de clients de la société s’étaient retrouvées sur le Net, et étaient même accessibles via Google. Explications. 

Au total, ce sont 684 778 fiches clients de la société DHL, spécialisée dans le transport de colis et de courrier, qui étaient en accès totalement libre sur la Toile. Pire : ces données (nom, adresse, numéro de téléphone, adresse email du client, plus éventuellement des instructions détaillées de livraison) étaient référencées dans Google. Autrement dit, il était possible de mettre la main dessus en quelques clics grâce au célèbre moteur de recherche...

La cause de ce grand déballage ? Une faille de sécurité touchant une application dédiée aux « avis de passage ». Alertée, la CNIL s’est rendue en février dernier dans les locaux de DHL pour effectuer un contrôle. La gardienne des données personnelles en a ensuite conclu que le transporteur était informé de l’existence de cette faille depuis la fin de l’année 2013, même si une version corrective était prévue pour mars 2014.

« Pour expliquer l’origine de la faille du contrôle, la société indique que l’application dont il est discuté a été conçue il y a plusieurs années par un sous-traitant et que l’absence de mesure de sécurisation au niveau de l’adresse IP résulte d’un défaut de conception du design de l’application » nous indique la CNIL dans sa délibération.

En guise de preuve de sa bonne foi suite au contrôle de la Commission, le transporteur joue volontiers la carte de la coopération. Une dizaine de jours après la visite de la CNIL, il indique ainsi avoir résolu le problème et coupé l’accès aux fiches clients en question. DHL précise au passage avoir contacté Google afin d’obtenir le déréférencement des données personnelles déballées (depuis une date qui reste indéterminée).

DHL ne peut s'exonérer de responsabilité pour cette faille

Mais cela n’a pas empêché la CNIL d’ouvrir une procédure de sanction l'encontre du transporteur, à l’issue de laquelle l’autorité administrative a décidé de prononcer un simple avertissement, lequel a été rendu public hier (voir la délibération, datée du 12 juin).

Le transporteur est en effet reconnu coupable de manquement à son obligation d’assurer la sécurité et la confidentialité des données qu’il avait en sa possession. Aux yeux de la CNIL, la situation constatée résultait « d’un défaut dans la conception [de l’application] dont la responsabilité incombe nécessairement à la société en tant que responsable de traitement et ce quelle qu’en soit l’origine réelle ». Autrement dit, DHL ne pouvait pas se défausser dans le cas présent sur un prestataire extérieur. La Commission ne manque par ailleurs pas de souligner que certaines des informations en jeu « présentaient un réel caractère d’intimité, révélant des éléments relatifs à la santé des personnes ou à la sécurisation des accès aux logements des clients ».

D’une manière plus générale, c’est l’attitude même de la société qui est pointée du doigt par l’autorité administrative. La CNIL fait ainsi valoir que bien « qu’éclairée sur l’existence d’une faille de sécurité interne, la société n’a entrepris aucune démarche pour vérifier la sécurité de l’ensemble de l’application ». Les efforts de DHL pour résoudre le problème semblent néanmoins lui avoir permis d’échapper à une sanction plus sévère.

Autre chose : le transporteur a également été sanctionné dans la mesure où parmi les données déballées, certaines dataient de 2007. Or cette durée de conservation était bien trop longue aux yeux de la CNIL, qui a donc demandé à DHL de faire un peu de ménage. L’autorité administration note ainsi dans sa délibération qu’une purge a été effectuée en février dernier, et qu’une politique de conservation proportionnée des données instaurée.