Connexion
Abonnez-vous

La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant

Cépamoicélui

La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant

Le 09 janvier 2018 à 10h19

Darty, le spécialiste de l’électroménager, s’est vu reprocher une mauvaise sécurisation de l’interface client dédiée au service après-vente. Un formulaire certes géré par son sous-traitant n’a pu se dédouaner de sa responsabilité aux yeux de la CNIL.

Lors du contrôle en ligne réalisé en mars 2017, une délégation de la CNIL alertée visiblement par Zataz a constaté qu’après avoir rempli un formulaire de service après-vente, le site officiel produisait un lien hypertexte « correspondant au numéro d’enregistrement de la demande ». Seul hic : l’identifiant du dossier était intégré dans l’adresse URL correspondante :

http://darty.epticahosting.com/selfdarty/requests.do?id=XXX

En modifiant la dernière variable, il était alors possible de prendre connaissance des fiches remplies par d’autres clients de la société.

Selon la CNIL, qui a fait publier sa décision hier au Journal officiel, 912 938 fiches étaient alors potentiellement accessibles. À titre de vérification, elle a d’ailleurs téléchargé un échantillon de 7 417 d’entre elles pour constater la présence de données personnelles telles que le nom des clients, leurs « prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes ».

Après signalement, Darty  a contacté le 6 mars la société EPTICA, son prestataire, « afin qu’elle prenne les mesures nécessaires ». Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ». Nouveau contrôle de la délégation de la CNIL qui a constaté cette fois un accès à 918 721 fiches.

Une URL qui « appartient » au sous-traitant

Ce n’est finalement que le 15 mars 2017, après un contrôle sur place, que la société a finalement assuré que les URL étaient enfin sécurisées. Néanmoins, le mal était fait et la CNIL a décidé de lancer une procédure de sanction.

Lors du bras de fer avec l’autorité, la société a tenté de s’extraire en affirmant qu’elle n’était en rien responsable du traitement litigieux. Elle a par exemple expliqué « n’avoir jamais consulté ou utilisé l’URL litigieuse susvisée, qui appartient à la société EPTICA, pour traiter les demandes de ses clients. Elle dispose de son propre formulaire de collecte disponible sur son site www.darty.com. »

En outre, jamais le formulaire en question n’a été demandé ou proposé dans le cahier des charges signé avec son sous-traitant. Selon Darty, c’est donc bien EPTICA qui  a « développé de sa propre initiative et pour des finalités qui lui sont propres le formulaire de demande de service après-vente accessible via l’URL litigieuse ». À elle, autrement dit, d’en assumer les risques.

Un seul et même traitement

Mais la CNIL va repousser cet argumentaire, d'ailleurs déjà entendu lors d’un dossier impliquant Orange. Elle rappelle sa doctrine : « Être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres ». Or, ici, c’est bien Darty qui a fait appel à ce prestataire.

En outre, « l’ensemble de ces demandes se rattache à un seul et même traitement, celui des données à caractère personnel des clients » avec une finalité unique : le traitement du SAV. Ainsi, les données glanées sur le formulaire poreux « sont versées dans l’outil de gestion des demandes de service après-vente et sont bien traitées par les services de la société ».

Pour la Commission, la finalité de ce formulaire est donc bien celle poursuivie par Darty. C’est elle qui la détermine. Enfin, « si la société EPTICA a mis à disposition le formulaire accessible via l’URL http://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement ».

L'exigence de vérifications préalables

L’analyse peut sembler rugueuse, mais Darty a bien été considérée comme responsable du traitement litigieux. De là, il lui appartenait « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par la société EPTICA répondaient à l’obligation de confidentialité ».

Selon la délibération, en effet, « la vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques », surtout lorsqu’on lui propose un logiciel sur étagère. Faute de les avoir réalisés, elle a donc fait preuve de négligence pour prévenir un accès non autorisé aux données personnelles des clients.

Au final, Darty a écopé d’une sanction de 100 000 euros, outre une délibération rendue publique « au regard des éléments précités, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes de quant au risque pesant sur la sécurité de leurs données ». La société est maintenant en droit d’attaquer cette délibération devant le Conseil d’État.

Commentaires (71)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Drepanocytose a écrit :



Le contrat de confiance





Le contrat de méfiance


votre avatar

tout bon service est protégé contre du bruteforce. Si trop de tentatives erronée, t’es bloquée pour 10 minutes et tu peux te brosser pour trouver quelque chose en 3 semaines. Brozamya a raison.

votre avatar

Vu que là on parle d’un service qui ne vérifie même pas un pauvre identifiant de session au minimum… j’ai comme un doute <img data-src=" />


votre avatar

Mathématiquement, ça donne environ 10^16 années avant d’avoir 50% de chance de trouver un seul UUID valide avec tes 200 explorateurs qui testent un million de possibilités par seconde.

Bon courage…

votre avatar







YohAsAkUrA a écrit :



j’ai pas dis que c’était simple ni rapide. j’ai dit que c’était faisable





Tout comme n’importe quel chiffrement est cassable en brute force. C’est le fondement même du chiffrement: un truc super facile à faire, mais avec tant de possibilités qu’il est impossible de les tester en un temps raisonnable pour un simple mortel.







YohAsAkUrA a écrit :



et qu’il allait pas falloir longtemps avant de tomber sur une url valide.





C’est justement là que fais erreur: même en brute force avec une armée de botnets composées de milliers d’ordis, tu vas devoir patienter non pas quelques semaines, mais quelques millions d’années avant de tomber sur le premier ID valide.



Pour donner un autre ordre d’idée, on est dans des ordres de grandeurs qui se rapprochent du nombre d’atomes d’une planète.



A noter que c’est exactement la même chose pour les adresses IPv6 (codées elles aussi sur 128 bits): on a un univers de vide parsemé par quelques adresses effectivement utilisées ça et là.


votre avatar







Sheepux a écrit :



tout bon service





Je crois que vu la news … on est pas exactement dans cette perspective là <img data-src=" />



Au delà de la blagounette, je plussoie le reste.


votre avatar

+1

Pour reprendre l’exemple de YohAsAkUrA, si on a 200 machines qui essayent 10 possibilités par seconde pendant 3 semaine, au bout de 3 semaines on a couvert environ 0,0000000000000000000000000001% des UUID possibles.

Ça fait un peu court 3 semaines.

votre avatar

C’est l’après midi des multiplications. Allons-y:



Alors en admettant qu’une requête HTTP complète fasse 40 octets (disons 20 octets pour l’en-tête TCP et 20 autres octets pour le payload TCP, ce qui est déjà méga ultra super pas crédible vu toute la phase de handshake qui est faite avant, plus les en-tête des couches inférieurs). Ca fait 320 bits. Admettons (*)



Admettons que ce super prestataire ait tout prévu pour la montée en charge de son super formulaire et ait mis en face un super ordi avec une connectivité de pas moins d’un térabits/seconde.



Résultat: rien que par la limite de bande passante, il faudrait 100 000 milliard d’années en saturant le lien pour faire l’ensemble des 2^128 requêtes.




votre avatar

et à la fin, ça répond “42” <img data-src=" />

votre avatar

Autant miner du #*coin à ce prix là <img data-src=" />

votre avatar







WereWindle a écrit :



et à la fin, ça répond “42” <img data-src=" />





Etant donné que le soleil a une espérance de vie de l’ordre de 5 milliards d’années, il a peu de chances de quiconque reponde quoi que ce soit à ce stade <img data-src=" />


votre avatar







brazomyna a écrit :



Etant donné que le soleil a une espérance de vie de l’ordre de 5 milliards d’années, il a peu de chances de quiconque reponde quoi que ce soit à ce stade <img data-src=" />





ah oui merde <img data-src=" />

On est sur des chiffres qui ont tellement aucun sens pour moi que j’avais zappé ce détail <img data-src=" />


votre avatar







WereWindle a écrit :



ah oui merde <img data-src=" />

On est sur des chiffres qui ont tellement aucun sens pour moi que j’avais zappé ce détail <img data-src=" />





Pareil.



Je viens de lire au passage quelques articles concomitants avec la découverte du boson de Higgs, qui justement dit que l’univers lui-même n’aurait pas forcément plus que quelques dizaines de milliards d’années devant lui.



Ca sent le roussi pour chopper tous les futurs formulaires darty tout ça, moi j’vous l’dit. <img data-src=" />


votre avatar

Du coup, une TPE/PME qui achèterai un site clef en main a un presta peu scrupuleux devient de facto responsable des fuites de données sur le dit site ? C’est pas ouf comme raisonnement (même si je suppose que dans le cas présent Darty pourrait avoir sa part de responsabilité quant aux specs demandées au presta ; mais vu que ce n’est pas précisé dans l’article … :/)

votre avatar

Non, c’est Darty qui est responsable des données de ses clients et qui doit donc s’assurer de leur sécurité s’il fait appel à un sous-traitant.

Si encore le sous-traitant faisait des choses en cachette de Darty ça pourrait l’exonérer. Mais là, comme le précise la CNIL, ça fait partie du traitement même si ça n’était pas spécifiquement demandé par Darty et que c’est dans les vérifications de base à réaliser.

votre avatar

Ca (nous) semble évident comme vérification, néanmoins est-ce bien logique de faire reposer la responsabilité sur le Société qui sollicite un tiers professionnel de l’informatique ?



J’admets sans mal que Darty (tout comme Amazon, la Fnac etc…) ont les moyens d’avoir en interne des pros en sécurité informatique ou de solliciter les services d’une boite pro en ce domaine pour faire des audits de sécurité.



Mais appliquer ce raisonnement à tous les professionnels (dont PME TPE) ça me semble totalement à coté de la plaque (surtout sans sanctionner le “sous-traitant” qui pourtant devrait relever et garantir Darty).



Je doute que les 34 des pros qui se mettent sur le net (et qui y sont très largement incités), soient en mesure d’apprécier “les&nbsp; règles de filtrage des URL” vérification qui “fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques.” (formule un peu abscons au passage et peu pédagogique), ou encore s’agissant d’une solution clef en main d’apprécier “des caractéristiques de ce produit” moins encore “d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci.”

votre avatar

Attention, la sanction de la CNIL est une amende administrative et non pénale. Il ne s’agit pas d’une sanction pénale.&nbsp;

votre avatar







Jnetjur a écrit :



Attention, la sanction de la CNIL est une amende administrative et non pénale. Il ne s’agit pas d’une sanction pénale.&nbsp;





D’accord pour la précision de la qualification, mais le régime de ces amendes relève de la Jurisprudence du Conseil constitutionnel s’agissant des amendes prononcées par les AAI (à l’époque l’AMF) et donc entre dans “la matière pénale” (matière pénale =! droit pénal).


votre avatar







crocodudule a écrit :



Mon regret s’agissant de la décision de la CNIL est que si on s’en tient à sa motivation, elle ne fait pas de distinction entre le pro a qui on peut exiger un certain de degré de compétence interne comme Darty, et l’artisan plombier qui va acheter une soft de prise de rendez-vous en ligne et sera incapable de vérifier si le soft est bien sécurisé.







PAs besoin de faire de distinction : il y a d’abord une alerte de la CNIL, l’artisan peut couper le service ou s’entêter comme DARTY avant d’avoir l’amende.


votre avatar







crocodudule a écrit :



C’est hélas pas une exception. Bien que souvent hostile à une telle idée, il serait peut-être temps que les boites de prestations pour le net se structurent un minimum et fassent le ménage dans leurs rangs, peut-être via un label de qualité comme on peut le voir dans le bâtiment par exemple.



Ca ne manquerait pas de sel là où il est plutôt habituel dans ce milieu de réclamer l’absence de toutes régulations, mais on est combien autour de nous à connaître des gens qui sont plantés par le prestataire informatique (qu’il s’agisse de logiciels métiers ou de sites-prestations en ligne ) ?



&nbsp;

&nbsp;Moi je serais beaucoup plus radical. Quand une boîte ose sortir en 2018 des applications où les mots de passe sont stockées en clair et refuse de corriger, ben on ferme la boîte. Si un traiteur ne se lave pas les mains avant de préparer les aliments, on condamne ceux qui y ont fait appel ou la DASS fait fermer le traiteur ?


votre avatar







YohAsAkUrA a écrit :



même si t’utilises un UUID…



ne pas afficher la requette dans l'URL me semble deja pour commencer une bonne chose! parce que même si t'as un UUID, a partir du moment ou t'as pigé de combien de bits et formé ton UUID rien ne t'empèche de checker par brutforce tout plein d'UUID.... avec 912'000 fichiers accessibles, doit pas faloir longtemps avant de tomber sur une URL valide.      

&nbsp;








Bon, passons sur l'absence de correction orthographique ou de typographie correcte dans ton message. Pour "piger" l'UUID, aller se documenter n'est pas sorcier, et Wikipedia&nbsp;démontre ceci :     



&gt;&nbsp;Thus, for there to be a one in a billion chance of duplication, 103 trillion UUIDs must be generated.

(source :&nbsp;https://en.wikipedia.org/wiki/Universally_unique_identifier)

&nbsp;

Donc, pour tomber sur une URL valide parmi les 912 000 accessibles, il ne faudrait pas “longtemps”, mais plutôt TRÈS LONGTEMPS. Avant de trouver ne serait-ce que 1 bonne URL (ce qui ne serait pas suffisant pour alerter la CNIL, qui veut avant tout protéger des collectes massives) :

* Les clients auraient vieilli et seraient tous morts

* Le site et l’entreprise seraient fermés

* La CNIL et ton pays auraient disparu

* Les composants des ordis ayant servis au bruteforce seraient entièrement décomposés

* La Terre n’existerait plus



Bon, désolée d’avoir cassé le pitch que tu préparais vraisemblablement pour la prochaine saison d’une série télé.


votre avatar

Non, rien à voir avec le conseil constitutionnel. Les amendes administratives de la CNIL relèvent de la jurisprudence du conseil d’Etat. Ca n’a rien à voir avec la matière pénale !



Pénal = parquet (procureur de la République et tribunal correctionnel).&nbsp;



&nbsp;

&nbsp;

votre avatar







Jnetjur a écrit :



Non, rien à voir avec le conseil constitutionnel. Les amendes administratives de la CNIL relèvent de la jurisprudence du conseil d’Etat. Ca n’a rien à voir avec la matière pénale !




  Pénal = parquet (procureur de la République et tribunal correctionnel).&nbsp;        






  &nbsp;        

&nbsp;








  Erreur totale: tu confonds l'autorité de contestation des décisions de la CNIL (qui est une AAI) et la nature des sanctions de la CNIL qui relève de la matière pénale (qui à nouveau et c'était là mon approximation, n'est pas égale au droit pénal)

votre avatar

Tiens pour te forger ton opinion:

. de mémoire la première fois où il est question de matière pénale pour le Conseil Constit et donc de la nature des sanctions rendues par les AAI:

https://actu.dalloz-etudiant.fr/fileadmin/actualites/pdfs/AVRIL_201589-260_DC.pdf



&nbsp;. Et une des dernières applications sur le sujet (et pas des moindres):

https://actu.dalloz-etudiant.fr/a-la-une/article/cumul-des-sanctions-penales-et-administratives-en-cas-dabus-de-marcheou-pas/h/2a7531e13f8aa395d65a16bb7352ae49.html

votre avatar

Il s’agit du non cumul des peines pénales et des amendes administratives. Ca ne veut pas dire que l’amende administrative relève de la matière pénale.&nbsp;

Les règles de droit pénal ne s’appliquent pas en l’espèce. Mais en effet, ça empêche les poursuites devant le juge pénal pour les mêmes faits et la même infraction/manquement. On ne peut pas dire qu’il y a eu condamnation pénale pour autant.&nbsp;



J’avais pas compris que le =! consistait en : c’est différent.



Il s’agit uniquement de terminologie.&nbsp;

votre avatar







Jnetjur a écrit :



Il s’agit du non cumul des peines pénales et des amendes administratives. Ca ne veut pas dire que l’amende administrative relève de la matière pénale.&nbsp;



 Les règles de droit pénal ne s'appliquent pas en l'espèce. Mais en effet, ça empêche les poursuites devant le juge pénal pour les mêmes faits et la même infraction/manquement. On ne peut pas dire qu'il y a eu condamnation pénale pour autant.&nbsp;       






J'avais pas compris que le =! consistait en : c'est différent.      






Il s'agit uniquement de terminologie.&nbsp;








Les amendes prononcées par les AAI relèvent de la matière pénale : concept mal défini mais qui permet d'aller chercher les principes de bases de cette matière (évidemment applicable au droit pénal) ; organes de poursuites différents de celui qui juge, principe de non auto-accusation, principe d'égalité des armes, procédure d'instruction encadrée avec accès au dossier, droit de la défense etc...     





Le Conseil Constit l’avait dégagé à propos de l’AMF afin de savoir comment articuler le quantum des peines entre le quatum d’amende prononcée par l’AMF et le quatum prévu par le Code pénal pour la même infraction (premier lien). Pour arbitrer il a indique que si cela ne relevait pas du Code pénal, cela se rattachait à la “matière pénale”.



C’était l’objet de ma précision, puisque par facilité j’avais parlé du raisonnement appliqué s’agissant des contraventions pour les amendes (qui donc pour l’essentiel ne nécessite pas d’intentionnalité, avec le bémol des infractions de presse par exemple).



Suite à ton intervention j’ai donc rectifié, en ne parlant pas de droit pénal mais de matière pénale, ce que sont les amendes prononcées par les AAI, ceci indifféremment de l’ordre judiciaire ou administratif (ce dernier naturellement accueillant les recours contre les décisions des AAI et plus précisément le Conseil d’Etat).&nbsp;


votre avatar

Toujours utiliser un UUID comme identifiant et surtout pas de nombre entier incrémenté !

votre avatar

Par contre ce serait bien que le prestataire ait au moins droit à un rappel à l’ordre.

Parce que pour le coup ils sont aussi responsables de ne pas avoir correctement sécurisé/développé le système…

votre avatar







Furanku a écrit :



Par contre ce serait bien que le prestataire ait au moins droit à un rappel à l’ordre.

Parce que pour le coup ils sont aussi responsables de ne pas avoir correctement sécurisé/développé le système…



T’inquiète, Darty va se retourner contre le presta…


votre avatar

Cela pose aussi la question de la sous-traitance qui est de plus en plus utilisé par les grosses boites pour se défausser de leur responsabilité. Malheureusement pour eux ça ne marche pas à tous les coups.

votre avatar







Nargas a écrit :



Toujours utiliser un UUID comme identifiant et surtout pas de nombre entier incrémenté&nbsp;!





même si t’utilises un UUID…

ne pas afficher la requette dans l’URL me semble deja pour commencer une bonne chose! parce que même si t’as un UUID, a partir du moment ou t’as pigé de combien de bits et formé ton UUID rien ne t’empèche de checker par brutforce tout plein d’UUID…. avec 912’000 fichiers accessibles, doit pas faloir longtemps avant de tomber sur une URL valide.

&nbsp;


votre avatar







risoto a écrit :



Cela pose aussi la question de la sous-traitance qui est de plus en plus utilisé par les grosses boites pour se défausser de leur responsabilité. Malheureusement pour eux ça ne marche pas à tous les coups presque jamais.





Et encore heureux: le client, il s’en fout du presta, il ne connaît que Darty. C’est Darty le donneur d’ordre, c’est Darty le responsable quand il y a un souci.

Ca me rappelle le bon temps du début des FAI qui rejetaient tout sur le réseau Orange dès qu’il y avait un pépin et qui disaient à leurs clients de se démerder avec eux, alors qu’ils n’avaient jamais été en contact et qu’ils n’avaient pas la moindre idée du problème. C’était un poil facile, et ça n’a pas duré, heureusement…


votre avatar

les petites aussi hein.

en matière d’hébergement les boites ne sont que très rarement auto-hébergées.

en matière d’e-commerce le pire étant les mails de bienvenue avec le rappel du login/mot de passe: tout le monde s’en fout, le prestataire comme le client.

votre avatar



Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ».





Donc EPTICA considère son système normal et sécurisé ? <img data-src=" />



Je comprends l’avis de la CNIL mais si Darty n’a pas commandé cet outil, sa responsabilité est contestable. A part faire pression sur le presta je ne vois pas ce qu’ils auraient bien pu faire, et visiblement le presta s’en foutait royalement.

votre avatar

Il y a plusieurs trucs entre le donneur d’ordre et le presta :




  • contrat

  • documents du projets, notamment les SPEC (pas le jambon <img data-src=" />), cahier des charges, architecture fonctionnelle, etc. et ça c’est rarement à la charge du sous-traitant qui n’a bien souvent que le rôle d’exécutant.



    Si la partie sécurité et confidentialité des documents étaient soient vides soient faiblardes, est-ce la faute du sous-traitant ? Quand bien même celui-ci aurait voix au chapitre, pas sur du tout que le donneur d’ordre suivent les recommandations.



    De même, les tests et audits sont pas faits pour les chiens, même si cela à un coût non négligeable.

    On fait auditer nos systèmes (et ceux fournis par les éditeurs) assez régulièrement, ce que l’on découvre parfois est juste effrayant… mais alors vraiment effrayant. Alors quand on balance un site e-commerce pour un gros client, on marche sur des œufs (dans le périmètre défini dans le contrat et selon les documents validés par le client <img data-src=" />)



votre avatar







YohAsAkUrA a écrit :



rien ne t’empèche de checker par brutforce tout plein d’UUID…. avec 912’000 fichiers accessibles, doit pas faloir longtemps avant de tomber sur une URL valide.





Je t’invite à tenter le coup <img data-src=" />



Un UUID c’est classiquement 128bits, ça fait 3.4e+38 possibilités.



Dit autrement, c’est infiniment plus ‘facile’, de retrouver une tête d’aiguille d’1mm² sur l’ensemble du territoire français (5.5e+17) que de trouver un UUID codé sur 128 bits.











votre avatar

Le contrat de confiance

votre avatar







Nargas a écrit :



Toujours utiliser un UUID comme identifiant et surtout pas de nombre entier incrémenté !







Bof, pour des numéro de fiches, c’est bien plus logique d’avoir un entier incrémenté.

Ca n’empêche pas de vérifier les accès pour autant <img data-src=" />, y compris avec un UUID, en cas d’info sensible.


votre avatar







brazomyna a écrit :



Je t’invite à tenter le coup <img data-src=" />



Un UUID c’est classiquement 128bits, ça fait 3.4e+38 possibilités.



Dit autrement, c’est infiniment plus ‘facile’, de retrouver une tête d’aiguille d’1mm² sur l’ensemble du territoire français (5.5e+17) que de trouver un UUID codé sur 128 bits.





j’ai pas dis que c’était simple ni rapide. j’ai dit que c’était faisable et qu’il allait pas falloir longtemps avant de tomber sur une url valide.



tu balances 200 explorateurs qui incrémentent d’un bit a chaques fois…. t’obtien bien un resultat a un moment ou un autre…. (même si il te faut 3semaines) &nbsp;mais ça reste faisable



masquer l’url reste tout de même le plus simple et le plus efficace <img data-src=" />

&nbsp;


votre avatar







crocodudule a écrit :



Ca (nous) semble évident comme vérification, néanmoins est-ce bien logique de faire reposer la responsabilité sur le Société qui sollicite un tiers professionnel de l’informatique ?



J’admets sans mal que Darty (tout comme Amazon, la Fnac etc…) ont les moyens d’avoir en interne des pros en sécurité informatique ou de solliciter les services d’une boite pro en ce domaine pour faire des audits de sécurité.



Mais appliquer ce raisonnement à tous les professionnels (dont PME TPE) ça me semble totalement à coté de la plaque (surtout sans sanctionner le “sous-traitant” qui pourtant devrait relever et garantir Darty).





je plussoie.


votre avatar

Tout à fait d’accord, ça me rappelle la RGPD qui est très bien pour forcer un peu la main des grosses boites, mais bien délicate à mettre en place pour une PME/TPE qui va devoir se farcir un consultant en plus pour être dans les clous.

votre avatar

Tout à fait d’accord. Car dans ce cas, pourquoi se limiter à la responsabilité des sous-traitants informatiques ? Quand on fait appel à un sous-traitant, sa responsabilité devrait être engagé. Ici, on a l’impression que Darty paie tous les pots cassés.



De plus, je note une partie de la réponse de la CNIL :&nbsp;

si la société EPTICA a mis à disposition le formulaire accessible via l’URLhttp://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement&nbsp;».&nbsp;



Dit autrement, si mon comptable, à qui je transmets mes justificatifs, décide d’outrepasser ses droits et de ne pas simplement tenir ma comptabilité, mais qu’il fait de la fraude fiscale ou que sais-je encore, je suis responsable de ce qu’il fait, mais pas lui ?



Ou encore, si je fais appel à un juriste pour un licenciement et qu’il se plante dans la procédure, c’est aussi moi le responsable ?&nbsp;&nbsp;



Alors oui, je serais responsable d’avoir choisi des prestataires. Mais si je fais appel à des prestataires, c’est pour avoir des personnes qualifiées pour faire leur boulot. Si je dois vérifier en détails si le travail fourni est bon, je ne ferais pas appel à des prestataires et je ferais le travail moi-même !



Personnellement, je me vois mal dire à mes clients, “si vous êtes condamnés pour une chose que j’ai faite, c’est que vous n’aviez qu’à choisir un autre prestataire !”



Pour en revenir à l’article, la sanction me parait bien lourde. Darty a, semble-t-il, agit comme il faut et à tout de suite coopérer avec la CNIL et a fait appel à son sous-traitant pour des mesures correctives. Qu’il y ait une certaine responsabilité de Darty d’engagée, je veux bien le concevoir, mais de là à passer directement à une sanction financière, alors que bien souvent, les sanctions consistent à un devoir de communication…

votre avatar







fdorin a écrit :



Tout à fait d’accord. Car dans ce cas, pourquoi se limiter à la responsabilité des sous-traitants informatiques ? Quand on fait appel à un sous-traitant, sa responsabilité devrait être engagé. Ici, on a l’impression que Darty paie tous les pots cassés.



De plus, je note une partie de la réponse de la CNIL :&nbsp;

si la société EPTICA a mis à disposition le formulaire accessible via l’URLhttp://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement&nbsp;».&nbsp;



Dit autrement, si mon comptable, à qui je transmets mes justificatifs, décide d’outrepasser ses droits et de ne pas simplement tenir ma comptabilité, mais qu’il fait de la fraude fiscale ou que sais-je encore, je suis responsable de ce qu’il fait, mais pas lui ?



Ou encore, si je fais appel à un juriste pour un licenciement et qu’il se plante dans la procédure, c’est aussi moi le responsable ?&nbsp;&nbsp;



Alors oui, je serais responsable d’avoir choisi des prestataires. Mais si je fais appel à des prestataires, c’est pour avoir des personnes qualifiées pour faire leur boulot. Si je dois vérifier en détails si le travail fourni est bon, je ne ferais pas appel à des prestataires et je ferais le travail moi-même !



Personnellement, je me vois mal dire à mes clients, “si vous êtes condamnés pour une chose que j’ai faite, c’est que vous n’aviez qu’à choisir un autre prestataire !”





Oui je suis absolument pas convaincu par la motivation, je peux admettre une obligation de moyen (qui me semble réalisée avec un audit de sécurité et une collaboration avec la CNIL lorsque la difficulté est dénoncée), mais là on fait peser une obligation de résultat pour une boite (d’accord importante) mais dont le domaine d’activité n’est pas la sécurité informatique et qui précisément va rechercher un tiers dont c’est le boulot.



Généralisée sans autre condition d’application, une telle décision pourrait freiner les volontés de proposer des prestations en ligne pour les TPE-PME.


votre avatar

Je pense que la méthode de la CNIL qui consiste à taper contre le donneur d’ordre et l’utilisateur final du site web est la bonne. Le responsable n’étant au final que celui qui utilise le site sous son enseigne.



C’est une méthode très simple pour ne pas à savoir qui a fait quoi dans l’échelle de l’incompétence (Ce qui peut-être compliqué avec le jeu de la sous-traitance, sachant qu’il n’est même pas dit que le prestataire en contrat avec Darty ait créé lui-même le site web).



Il appartiendra ici à Darty de se retourner contre son prestataire pour demander des indemnités, prestataire qui se retournera contre ses propres prestataires si besoin est.

votre avatar







fdorin a écrit :



Tout à fait d’accord. Car dans ce cas, pourquoi se limiter à la responsabilité des sous-traitants informatiques ? Quand on fait appel à un sous-traitant, sa responsabilité devrait être engagé. Ici, on a l’impression que Darty paie tous les pots cassés.





C’est déjà le cas en dehors de l’informatique, dans l’automobile par exemple : un constructeur qui fait appel à un sous-traitant pour une pièce de sécurité qui se trouve être défectueuse sera tenu pour responsable s’il n’a pas mis en place les mesures pour s’assurer de la qualité des pièces.


votre avatar







kwak-kwak a écrit :







Il appartiendra ici à Darty de se retourner contre son prestataire pour demander des indemnités, prestataire qui se retournera contre ses propres prestataires si besoin est.





Pas si simple; on est pas en matière de responsabilité civile où au final succombe celui qui a commis la faute d’origine en relevant et garantissant tous les autres “responsables” (par exemple un vendeur qui sera condamné à indemniser l’acheteur consommateur, mais sera en réalité relevé et garanti par le constructeur parce que le produit est d’origine affecté d’un défaut).



La sanction de la CNIL s’apparente aux amendes: celui qui est condamné par exemple pour une contravention pour des pneus mal gonflés peut pas demander au Garage qui vient de lui faire la révision de régler la douloureuse.



Il va donc falloir, à défaut d’accord, que darty démontre que le sous-traitant à manqué à ses obligations contractuelles (et/ou est responsable d’une faute dans cette relation contractuelle) pour ensuite solliciter une indemnité.


votre avatar

Au contraire ça oblige le passeur de commande à prendre ses responsabilités vis-à-vis de ses clients, même si “ce n’est pas leur métier” : ce n’est jamais le cas ! et un commerçant s’en fiche complètement de la sécurité de ces données, surtout si ça coute moins cher.



D’ailleurs la réponse du prestataire “trop compliqué à régler” donne une bonne idée de leur niveau technique.

votre avatar







brazomyna a écrit :



C’est l’après midi des multiplications. Allons-y:

[…]

Résultat: rien que par la limite de bande passante, il faudrait 100 000 milliard d’années en saturant le lien pour faire l’ensemble des 2^128 requêtes.





Bonne idée d’avoir aussi mentionné la bande passante.







brazomyna a écrit :



Etant donné que le soleil a une espérance de vie de l’ordre de 5 milliards d’années, il a peu de chances de quiconque reponde quoi que ce soit à ce stade <img data-src=" />





<img data-src=" />


votre avatar







fdorin a écrit :



Pour en revenir à l’article, la sanction me parait bien lourde. Darty a, semble-t-il, agit comme il faut et à tout de suite coopérer avec la CNIL et a fait appel à son sous-traitant pour des mesures correctives. Qu’il y ait une certaine responsabilité de Darty d’engagée, je veux bien le concevoir, mais de là à passer directement à une sanction financière, alors que bien souvent, les sanctions consistent à un devoir de communication…





J’aimerais bien avoir plus de détails sur ce point. D’après l’article, j’ai l’impression que le problème a été signalé vers début mars 2017 et qu’il était corrigé le 15 mars 2017.

&nbsp;Ça me semble tout à fait raisonnable comme délai.

&nbsp;

&nbsp;S’il suffit d’une constatation pour qu’il y ait une amende de 100 000€, ça me parait très sévère. Même les grand acteurs du numérique ont parfois des failles de sécurité (ok en général, elles sont plus élaborés). La collaboration et la rapidité d’intervention devraient être prises en compte.


votre avatar

Surtout qu’il y avait une solution très simple ! Darty n’ayant jamais demandé cela, il suffisait de fermer la page ! Plus de page, plus de fuite…

votre avatar

En conclusion et sans vouloir “troller” c’est oui pour vos exemples et je conclurai pas un adage assez connus les conseilleurs ne sont pas les payeurs.



&nbsp;D’où l’emploi d’un expert comptable pour faire vérifier le travail du comptable

L’emploi d’un avocat et la demande de l’avis de l’inspecteur du travail pour confirmer l’avis du juriste…



C’est vous le responsable légal ; Ensuite libre à vous de vous retourner vers les différents conseils et tribunaux contre les personnes incompétentes….&nbsp;

votre avatar







wagaf a écrit :



Au contraire ça oblige le passeur de commande à prendre ses responsabilités vis-à-vis de ses clients, même si “ce n’est pas leur métier” : ce n’est jamais le cas ! et un commerçant s’en fiche complètement de la sécurité de ces données, surtout si ça coute moins cher.




  D'ailleurs la réponse du prestataire "trop compliqué à régler" donne une bonne idée de leur niveau technique.








  Le passeur de commande, lorsqu'il s'agit de Darty &amp; Co il a les moyens de doubler sa demande de logiciel d'un audit auprès de pros de la sécurité.       






 Mais la CNIL ne fait aucune différence entre Darty (Fnac etc...) et une TPE de base qui n'est pas du secteur de l'informatique mais entend offrir des prestas via le net en utilisant un soft acheté auprès d'un pro du secteur informatique (et parfois la formation qui va avec).       






 La TPE-PME après s'être saignée pour acheter l'outil, elle n'aura pas un centime pour le faire auditer avant sa mise en œuvre, et n'aura pas les compétences pour faire des vérifications de bases en interne pour la majorité d'entre elles. En outre, elle peut légitiment se dire que s'adressant à un pro de l'informatique c'est de sa responsabilité comme dans tout autre domaine.

votre avatar







data_gh0st a écrit :



Tout à fait d’accord, ça me rappelle la RGPD qui est très bien pour forcer un peu la main des grosses boites, mais bien délicate à mettre en place pour une PME/TPE qui va devoir se farcir un consultant en plus pour être dans les clous.






   C'est bien le problème de la RGPD: si la CNIL dans sa communication et ses confs reste plutôt bienveillante (la RGPD n'est pas une révolution au regard de la réglementation depuis 2004 en France), en revanche la com. faite par certains sites et mêmes boites d'infos qui se disent les chevaliers blancs(*) des protections des données, a réussi à foutre la trouille à une partie des pros qui prennent la réglementation en grippe, alors qu'il n'y a rien d'insurmontable et là pour la majorité des cas des simples conseils de bonnes pratiques font l'affaire avec un registre de qui fait quoi et comment (et pas un audit à 1 500 € voire largement plus comme j'ai pu le voir).       






  * certaines font maintenant des faux fax et mails de la "Préfecture" en ajoutant qu'à défaut de conformité votre boite sera condamnée à x millions et le chef d'entreprise brulé puis écartelé (j'exagère à peine ^^ ), la CNIL ayant du faire une publication de mise en garde pour dire qu'il s'agissait d'escroquerie.

votre avatar

Ah le monde capitaliste, c’est pas facile.



D’abord il n’est pas possible de faire des lois “pour les TPE” car le Conseil Constit a déjà dit que cela rompt l’égalité devant la loi.



Si une TPE décide de fournir des services en lignes, cela a un coût, y compris la sécurité. Si on joue le jeu du capitalisme, on n’a pas à pleurer quand les règles ne sont pas correctes.



Si on est pas d’accord, on milite pour changer de système. Pas pour changer les règles en fonction de la tête du clients /humour.

votre avatar







Nargas a écrit :



Toujours utiliser un UUID comme identifiant et surtout pas de nombre entier incrémenté&nbsp;!





Tu m’intéresses, pourquoi pas un entier incrémenté ? L’UUID me semble pourtant suffisante ?


votre avatar







linkin623 a écrit :



Ah le monde capitaliste, c’est pas facile.



D’abord il n’est pas possible de faire des lois “pour les TPE” car le Conseil Constit a déjà dit que cela rompt l’égalité devant la loi.



Si une TPE décide de fournir des services en lignes, cela a un coût, y compris la sécurité. Si on joue le jeu du capitalisme, on n’a pas à pleurer quand les règles ne sont pas correctes.



Si on est pas d’accord, on milite pour changer de système. Pas pour changer les règles en fonction de la tête du clients /humour.





Aucun rapport. Il suffit d’appliquer la Loi, enfin ici la Jurisprudence.



Si tu es un pro qui n’est pas dans le secteur de l’informatique et que tu fais appel à un pro dudit secteur, ce dernier doit répondre de ses conneries à ton égard.



En plus le raisonnement qui consiste à dire si je casque super cher ca sera nécessairement sécurisé est franchement pas constaté dans la réalité. Le problème est la compétence du pro dans le secteur considéré, une brêle hors de prix restera une brêle.


votre avatar

Ben justement, les règles sont les mêmes pour tout le monde, et cher ou pas cher, TPE ou pas, tout le monde doit s’assurer que le service est sécurisé.



Pas de différence spéciale “parce que c’est un TPE”. C’est le jeu du capitalisme (légèrement encadré par la loi).



D’accord avec toi, si l’entreprise choisie est mauvaise, cher ou pas, elle est mauvaise. Mais si j’en crois la sacro-sainte “loi du marché”, l’entreprise mauvaise va disparaître, car trop chère et incompétente.



Ah, on me souffle que ça se passe pas comme ça dans la vraie vie. Mince, la loi du marché n’existe donc pas ?

votre avatar

Et je précise ma pensée: lorsque j’indique qu’il pourrait exister une distinction entre Darty-Fnac etc… et la PME de base, c’est sur un critère objectif: le fait ou non qu’une compétence en informatique existe au sein même de la boite (à minima parce qu’elle propose des prestas au consommateur dans ce domaine, ou tout simplement parce que je n’imagine pas qu’une boite de ce genre n’a pas un service informatique interne capable de vérifier qu’une simple URL permet d’accéder aux données clients sans identification).



Y a donc aucun rapport dans mon propos avec le “grand capital”.

votre avatar







linkin623 a écrit :



Ben justement, les règles sont les mêmes pour tout le monde, et cher ou pas cher, TPE ou pas, tout le monde doit s’assurer que le service est sécurisé.



Pas de différence spéciale “parce que c’est un TPE”. C’est le jeu du capitalisme (légèrement encadré par la loi).



D’accord avec toi, si l’entreprise choisie est mauvaise, cher ou pas, elle est mauvaise. Mais si j’en crois la sacro-sainte “loi du marché”, l’entreprise mauvaise va disparaître, car trop chère et incompétente.



Ah, on me souffle que ça se passe pas comme ça dans la vraie vie. Mince, la loi du marché n’existe donc pas ?





Cf mon commentaire précédent, soit l’application Jurisprudentielle du critère de compétence.


votre avatar

Pour faire un parallèle : un chef d’entreprise est responsable de sa comptabilité et ne peut pas se décharger sur l’expert comptable en cas de faute.



En l’occurrence, le client se doit de s’assurer que ce que lui fourni son prestataire est conforme aux règlements et lois en vigueur.



Un exemple simple au niveau de l’IT : l’éditeur d’un progiciel que j’intègre chez un client a eu droit à un audit de sécurité de la part du client en question. Parce que l’application manipule des données personnelles (commandes, référencement clients, etc) et cet audit a révélé plein de failles dans le produit.

Résultat l’éditeur a du corriger tout ça, et gratos.



On ne peut pas se reposer sur un prestataire et se décharger en cas de défaillance de sa part. On peut lui infliger des pénalités ensuite oui, mais derrière c’est aussi au client de s’assurer que son presta ne fait pas de la merde.

Et comme généralement les clients veulent tout pour rien (“je veux un expert virtualisation/base de données/système/réseau/cobol pour 150€/jour”), bah ça fini mal.

votre avatar

Combien y a-t-il d’autres sites de ecommerce comme eux ? Ayant des failles béantes ? A mon avis un certain nombre.

votre avatar

Il n’empêche que pour les touts petits c’est un problème quasi insurmontable. Expérience en cours: organisation d’un congrès par une association (but non lucratif, les recettes servant à payer les dépenses). L’office du tourisme local propose “gentiment” de s’occuper de tout, ce qui comprend le paiement des frais d’inscription. Du coup prestation annexe: création du site web où l’on peut choisir quelques options et payer en ligne, franchement rien de compliqué.

&nbsp; Naturellement l’office du tourisme a sous-traité le développement web à son prestataire d’une incompétence abyssale. Système de mail avec copie sur une url à compteur façon Darty, mots de passe stockés en clair (je laisse deviner ce qui se passe quand on ajoute la faille n°1 à l’envoi du mot de passe oublié par mail). Le prestataire ne s’est pas demandé ce qui se passait quand sur la réservation d’un hôtel on partait avant d’arriver… J’en passe et des meilleures.

&nbsp; Ben pour le prestataire, c’est normal, éventuellement, en repassant à la caisse, on pourra regarder ce qui est faisable.&nbsp; L’assoc organisatrice du congrès fait quoi ? Elle se lance dans 5 ans de procès contre l’office du tourisme en espérant que le juge partage notre opinion comme quoi faute de clause spécifique le fait que le site web devait respecter la législation en matière de protection des données personnelles était implicite ?

&nbsp; Ou elle organise quand même le congrès en hurlant pour que les failles les plus visibles soient cachées un peu sous le tapis au risque de se faire condamner si quelqu’un regarde d’un peu trop près ?

votre avatar

Je suis tout à fait d’accord. J’ai fait un peu volontairement le candide dans mon commentaire afin de soulever un soucis : comment, quand on n’est pas un expert, s’assurer que la prestation / logiciel fourni&nbsp; par un prestataire est conforme aux règlements et lois en vigueur ?



Pour la compta, on prend un expert comptable. Très bien. Mais si lui fait des erreurs ? Je l’ai déjà vu, un expert comptable qui a réussi à déceler un problème de TVA lors de la facturation d’une prestation récurrente pour un client particulier.&nbsp;Et il a essayé de revenir 2 ans en arrière, sur des comptes… qu’il avait déjà lui-même validés !

Au final, qui est responsable en cas de redressement fiscal suite à un contrôle ? Le comptable, pour qui il n’y avait pas de soucis ? L’expert comptable, qui a réussi à valider à plusieurs reprises l’opération litigieuse ? La société, qui fait appel à un prestataire pour gérer sa compta et être conseillée ? Réponse : la société.



Ca me fait penser un peu à la Hadopi et le délit de “défaut de sécurisation”. On attend toujours la marche à suivre pour sécuriser sa connexion, mais on peut malgré tout être condamné.



L’aspect important, et je suis surpris que cela n’ait pas déjà été abordé, c’est la distinction entre “responsable” et “coupable”. Oui, dans le cas qui nous occupe, Darty est responsable, dans la mesure où c’est le donneur d’ordre. Mais il est aussi traité comme le coupable, et là, je trouve que c’est hautement plus discutable.



&nbsp;Qu’en tant que responsable on paie les conséquences d’une erreur&nbsp; ne me choque pas (par exemple, je n’ai pas payé ce que j’aurais dû aux impôts et on me demande la différence). Par contre, que le responsable soit condamné à la place du coupable (le responsable paie les pénalités ou pour Darty, est condamné à une amende), oui, là, ça me gêne.&nbsp;

votre avatar

Le test se fait en une minute, pas besoin d’être chercheur <img data-src=" /><img data-src=" />

votre avatar

Oui c’est vrai mais la CNIL averti d’abord. Donc la TPE n’a plus qu’a rompre son contrat avec le presta défaillant.

Ici DARTY a préféré conserver son presta…



Alors oui, perdre un outil peut couter du pognon, mais ca arrive dans d’autres domaines : un produit fournisseur testé toxique à retirer de la composition d’un produit (voir faire un rappel de produits déjà vendu) par exemple : tu vas aussi dire “ouais mais là c’est une TPE donc on va laisser faire. ” ?

votre avatar

Je ne pense pas qu’on puisse être généraliste dans ce genre d’histoire.



Darty est une entreprise qui a la capacité à avoir une DSI de part sa taille, et donc en mesure de contrôler ce que fait son prestataire. De plus, l’article indique bien qu’après premier contrôle, ils se sont retourné contre lui pour exiger la correction de l’anomalie.

Et suite à cela, le presta ne s’est pas exécuté.



Dans le lot, Darty est pour moi responsable de l’agissement de son prestataire (ils étaient conscients du problème soulevé par la CNIL puisque avertis) et coupable de négligence vis à vis de celui-ci car la mise en oeuvre de la correction n’a pas été réalisée. Et le presta se dédouane a coup de “oué mais c’est compliqué tu vois…”… Soit n’importe quoi.

Après tout dépend du contrat de prestation, mais derrière si Darty n’est pas en mesure d’imposer des pénalités ou des SLA sur l’exécution des ordres à son presta, ils sont clairement coupables de négligence dans le traitement de leurs données personnelles.



Par contre, dans le cas d’une TPE de 3 clampins, je pense que la CNIL se montrera peut être plus pédagogue que dans le cas d’une entreprise qui fait presque 4 milliards d’euros de CA.



Pour reprendre mon exemple personnel, si demain je fais un traitement qui siphonne la base cliente des enseignes pour qui je suis en prestation pour faire mumuse avec et que la CNIL tombe dessus, c’est le groupe (mon client) qui va se prendre l’avertissement, pas mon employeur ni moi-même. Sauf si les choses sont bien faites et que l’avertissement suffit à me faire virer et à supprimer mes conneries.

Par contre si le client dit “arrête ça” et que derrière je lui dit “oui oui” mais en réalité “cause toujours” et continue, pour moi il est fautif de ne pas s’être assuré que j’ai arrêté mes conneries.



Dans le cas présent, on a clairement une mauvaise volonté qui s’est installée dans l’histoire.

votre avatar







psn00ps a écrit :



Le test se fait en une minute, pas besoin d’être chercheur <img data-src=" /><img data-src=" />





Toi, moi et la majorité sur Next Inpact sans l’ombre d’un doute.



Mais aujourd’hui tu as beaucoup d’entreprises qui viennent sur le net qui sont des commerçants, artisans ou libéraux, qui souhaitent proposer leurs services classiques (plombier, médecin, installateur de TV etc…) via la prise de rendez-vous en ligne par exemple.



Il est irréaliste de prétendre que la majorité d’entre eux sont en mesure de faire la simple vérification que tu évoques.


votre avatar







CryoGen a écrit :



Oui c’est vrai mais la CNIL averti d’abord. Donc la TPE n’a plus qu’a rompre son contrat avec le presta défaillant.

Ici DARTY a préféré conserver son presta…



Alors oui, perdre un outil peut couter du pognon, mais ca arrive dans d’autres domaines : un produit fournisseur testé toxique à retirer de la composition d’un produit (voir faire un rappel de produits déjà vendu) par exemple : tu vas aussi dire “ouais mais là c’est une TPE donc on va laisser faire. ” ?





Mais mon propos n’est pas de dire que cela n’a pas de coût et il est parfaitement exact de dire qu’il faut y mettre le prix nécessaire.



Mon regret s’agissant de la décision de la CNIL est que si on s’en tient à sa motivation, elle ne fait pas de distinction entre le pro a qui on peut exiger un certain de degré de compétence interne comme Darty, et l’artisan plombier qui va acheter une soft de prise de rendez-vous en ligne et sera incapable de vérifier si le soft est bien sécurisé.


votre avatar

C’est pour ça que les sous-traitants spécialisés existent.

Il est INportant que Darty soit responsable pour les client et les références futures,

ET le sous-traitant puisqu’il est défaillant alors que c’est son domaine.

votre avatar







bidou.bidou a écrit :



Il n’empêche que pour les touts petits c’est un problème quasi insurmontable. Expérience en cours: organisation d’un congrès par une association (but non lucratif, les recettes servant à payer les dépenses). L’office du tourisme local propose “gentiment” de s’occuper de tout, ce qui comprend le paiement des frais d’inscription. Du coup prestation annexe: création du site web où l’on peut choisir quelques options et payer en ligne, franchement rien de compliqué.

&nbsp; Naturellement l’office du tourisme a sous-traité le développement web à son prestataire d’une incompétence abyssale. Système de mail avec copie sur une url à compteur façon Darty, mots de passe stockés en clair (je laisse deviner ce qui se passe quand on ajoute la faille n°1 à l’envoi du mot de passe oublié par mail). Le prestataire ne s’est pas demandé ce qui se passait quand sur la réservation d’un hôtel on partait avant d’arriver… J’en passe et des meilleures.

&nbsp; Ben pour le prestataire, c’est normal, éventuellement, en repassant à la caisse, on pourra regarder ce qui est faisable.&nbsp; L’assoc organisatrice du congrès fait quoi ? Elle se lance dans 5 ans de procès contre l’office du tourisme en espérant que le juge partage notre opinion comme quoi faute de clause spécifique le fait que le site web devait respecter la législation en matière de protection des données personnelles était implicite ?

&nbsp; Ou elle organise quand même le congrès en hurlant pour que les failles les plus visibles soient cachées un peu sous le tapis au risque de se faire condamner si quelqu’un regarde d’un peu trop près ?





C’est hélas pas une exception. Bien que souvent hostile à une telle idée, il serait peut-être temps que les boites de prestations pour le net se structurent un minimum et fassent le ménage dans leurs rangs, peut-être via un label de qualité comme on peut le voir dans le bâtiment par exemple.



Ca ne manquerait pas de sel là où il est plutôt habituel dans ce milieu de réclamer l’absence de toutes régulations, mais on est combien autour de nous à connaître des gens qui sont plantés par le prestataire informatique (qu’il s’agisse de logiciels métiers ou de sites-prestations en ligne ) ?


votre avatar







psn00ps a écrit :



C’est pour ça que les sous-traitants spécialisés existent.

Il est INportant que Darty soit responsable pour les client et les références futures,

ET le sous-traitant puisqu’il est défaillant alors que c’est son domaine.





Darty est dès à présent et indifféremment de la décision de la CNIL responsable. N’importe qui constate que sa fiche est accessible via le site Darty peut engager sa responsabilité.



Ce qui m’étonne, c’est que Darty soit sanctionné pénalement (puisque c’est bien cela ici) mais pas son prestataire.



Pour être plus exact, Darty devrait être poursuivi au civil par ses clients (et éventuellement assos de consommateurs) et le prestataire devrait l’être au pénal (par la CNIL ou devant un tribunal).



Si d’autres juristes passent, ils vont dire oui mais l’intentionnalité n’est pas nécessaire en matière contraventionnelle, donc pas de problème pour que la CNIL sanctionne. Certes mais là le raisonnement de la contravention peut pas s’appliquer, l’amende est de 100 000 € ici, c’est pas franchement une contravention de 4° classe…


La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant

  • Une URL qui « appartient » au sous-traitant

  • Un seul et même traitement

  • L'exigence de vérifications préalables

Fermer