La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant
Cépamoicélui
Le 09 janvier 2018 à 10h19
5 min
Droit
Droit
Darty, le spécialiste de l’électroménager, s’est vu reprocher une mauvaise sécurisation de l’interface client dédiée au service après-vente. Un formulaire certes géré par son sous-traitant n’a pu se dédouaner de sa responsabilité aux yeux de la CNIL.
Lors du contrôle en ligne réalisé en mars 2017, une délégation de la CNIL alertée visiblement par Zataz a constaté qu’après avoir rempli un formulaire de service après-vente, le site officiel produisait un lien hypertexte « correspondant au numéro d’enregistrement de la demande ». Seul hic : l’identifiant du dossier était intégré dans l’adresse URL correspondante :
http://darty.epticahosting.com/selfdarty/requests.do?id=XXX
En modifiant la dernière variable, il était alors possible de prendre connaissance des fiches remplies par d’autres clients de la société.
Selon la CNIL, qui a fait publier sa décision hier au Journal officiel, 912 938 fiches étaient alors potentiellement accessibles. À titre de vérification, elle a d’ailleurs téléchargé un échantillon de 7 417 d’entre elles pour constater la présence de données personnelles telles que le nom des clients, leurs « prénom, adresse postale, adresse de messagerie électronique ainsi que leurs commandes ».
Après signalement, Darty a contacté le 6 mars la société EPTICA, son prestataire, « afin qu’elle prenne les mesures nécessaires ». Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ». Nouveau contrôle de la délégation de la CNIL qui a constaté cette fois un accès à 918 721 fiches.
Une URL qui « appartient » au sous-traitant
Ce n’est finalement que le 15 mars 2017, après un contrôle sur place, que la société a finalement assuré que les URL étaient enfin sécurisées. Néanmoins, le mal était fait et la CNIL a décidé de lancer une procédure de sanction.
Lors du bras de fer avec l’autorité, la société a tenté de s’extraire en affirmant qu’elle n’était en rien responsable du traitement litigieux. Elle a par exemple expliqué « n’avoir jamais consulté ou utilisé l’URL litigieuse susvisée, qui appartient à la société EPTICA, pour traiter les demandes de ses clients. Elle dispose de son propre formulaire de collecte disponible sur son site www.darty.com. »
En outre, jamais le formulaire en question n’a été demandé ou proposé dans le cahier des charges signé avec son sous-traitant. Selon Darty, c’est donc bien EPTICA qui a « développé de sa propre initiative et pour des finalités qui lui sont propres le formulaire de demande de service après-vente accessible via l’URL litigieuse ». À elle, autrement dit, d’en assumer les risques.
Un seul et même traitement
Mais la CNIL va repousser cet argumentaire, d'ailleurs déjà entendu lors d’un dossier impliquant Orange. Elle rappelle sa doctrine : « Être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres ». Or, ici, c’est bien Darty qui a fait appel à ce prestataire.
En outre, « l’ensemble de ces demandes se rattache à un seul et même traitement, celui des données à caractère personnel des clients » avec une finalité unique : le traitement du SAV. Ainsi, les données glanées sur le formulaire poreux « sont versées dans l’outil de gestion des demandes de service après-vente et sont bien traitées par les services de la société ».
Pour la Commission, la finalité de ce formulaire est donc bien celle poursuivie par Darty. C’est elle qui la détermine. Enfin, « si la société EPTICA a mis à disposition le formulaire accessible via l’URL http://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement ».
L'exigence de vérifications préalables
L’analyse peut sembler rugueuse, mais Darty a bien été considérée comme responsable du traitement litigieux. De là, il lui appartenait « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par la société EPTICA répondaient à l’obligation de confidentialité ».
Selon la délibération, en effet, « la vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques », surtout lorsqu’on lui propose un logiciel sur étagère. Faute de les avoir réalisés, elle a donc fait preuve de négligence pour prévenir un accès non autorisé aux données personnelles des clients.
Au final, Darty a écopé d’une sanction de 100 000 euros, outre une délibération rendue publique « au regard des éléments précités, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes de quant au risque pesant sur la sécurité de leurs données ». La société est maintenant en droit d’attaquer cette délibération devant le Conseil d’État.
La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant
-
Une URL qui « appartient » au sous-traitant
-
Un seul et même traitement
-
L'exigence de vérifications préalables
Commentaires (71)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/01/2018 à 12h02
Le 09/01/2018 à 12h26
tout bon service est protégé contre du bruteforce. Si trop de tentatives erronée, t’es bloquée pour 10 minutes et tu peux te brosser pour trouver quelque chose en 3 semaines. Brozamya a raison.
Le 09/01/2018 à 12h34
Vu que là on parle d’un service qui ne vérifie même pas un pauvre identifiant de session au minimum… j’ai comme un doute " />
Le 09/01/2018 à 12h45
Mathématiquement, ça donne environ 10^16 années avant d’avoir 50% de chance de trouver un seul UUID valide avec tes 200 explorateurs qui testent un million de possibilités par seconde.
Bon courage…
Le 09/01/2018 à 12h51
Le 09/01/2018 à 12h58
Le 09/01/2018 à 13h01
+1
Pour reprendre l’exemple de YohAsAkUrA, si on a 200 machines qui essayent 10 possibilités par seconde pendant 3 semaine, au bout de 3 semaines on a couvert environ 0,0000000000000000000000000001% des UUID possibles.
Ça fait un peu court 3 semaines.
Le 09/01/2018 à 13h18
C’est l’après midi des multiplications. Allons-y:
Alors en admettant qu’une requête HTTP complète fasse 40 octets (disons 20 octets pour l’en-tête TCP et 20 autres octets pour le payload TCP, ce qui est déjà méga ultra super pas crédible vu toute la phase de handshake qui est faite avant, plus les en-tête des couches inférieurs). Ca fait 320 bits. Admettons (*)
Admettons que ce super prestataire ait tout prévu pour la montée en charge de son super formulaire et ait mis en face un super ordi avec une connectivité de pas moins d’un térabits/seconde.
Résultat: rien que par la limite de bande passante, il faudrait 100 000 milliard d’années en saturant le lien pour faire l’ensemble des 2^128 requêtes.
Le 09/01/2018 à 13h24
et à la fin, ça répond “42” " />
Le 09/01/2018 à 13h25
Autant miner du #*coin à ce prix là " />
Le 09/01/2018 à 13h27
Le 09/01/2018 à 13h38
Le 09/01/2018 à 13h51
Le 09/01/2018 à 14h01
Du coup, une TPE/PME qui achèterai un site clef en main a un presta peu scrupuleux devient de facto responsable des fuites de données sur le dit site ? C’est pas ouf comme raisonnement (même si je suppose que dans le cas présent Darty pourrait avoir sa part de responsabilité quant aux specs demandées au presta ; mais vu que ce n’est pas précisé dans l’article … :/)
Le 09/01/2018 à 14h17
Non, c’est Darty qui est responsable des données de ses clients et qui doit donc s’assurer de leur sécurité s’il fait appel à un sous-traitant.
Si encore le sous-traitant faisait des choses en cachette de Darty ça pourrait l’exonérer. Mais là, comme le précise la CNIL, ça fait partie du traitement même si ça n’était pas spécifiquement demandé par Darty et que c’est dans les vérifications de base à réaliser.
Le 09/01/2018 à 14h26
Ca (nous) semble évident comme vérification, néanmoins est-ce bien logique de faire reposer la responsabilité sur le Société qui sollicite un tiers professionnel de l’informatique ?
J’admets sans mal que Darty (tout comme Amazon, la Fnac etc…) ont les moyens d’avoir en interne des pros en sécurité informatique ou de solliciter les services d’une boite pro en ce domaine pour faire des audits de sécurité.
Mais appliquer ce raisonnement à tous les professionnels (dont PME TPE) ça me semble totalement à coté de la plaque (surtout sans sanctionner le “sous-traitant” qui pourtant devrait relever et garantir Darty).
Je doute que les 3⁄4 des pros qui se mettent sur le net (et qui y sont très largement incités), soient en mesure d’apprécier “les règles de filtrage des URL” vérification qui “fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques.” (formule un peu abscons au passage et peu pédagogique), ou encore s’agissant d’une solution clef en main d’apprécier “des caractéristiques de ce produit” moins encore “d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci.”
Le 10/01/2018 à 11h50
Attention, la sanction de la CNIL est une amende administrative et non pénale. Il ne s’agit pas d’une sanction pénale.
Le 10/01/2018 à 11h55
Le 10/01/2018 à 12h04
Le 10/01/2018 à 14h34
Le 11/01/2018 à 02h18
Le 12/01/2018 à 16h25
Non, rien à voir avec le conseil constitutionnel. Les amendes administratives de la CNIL relèvent de la jurisprudence du conseil d’Etat. Ca n’a rien à voir avec la matière pénale !
Pénal = parquet (procureur de la République et tribunal correctionnel).
Le 12/01/2018 à 16h26
Le 12/01/2018 à 16h32
Tiens pour te forger ton opinion:
. de mémoire la première fois où il est question de matière pénale pour le Conseil Constit et donc de la nature des sanctions rendues par les AAI:
https://actu.dalloz-etudiant.fr/fileadmin/actualites/pdfs/AVRIL_2015⁄89-260_DC.pdf
. Et une des dernières applications sur le sujet (et pas des moindres):
https://actu.dalloz-etudiant.fr/a-la-une/article/cumul-des-sanctions-penales-et-administratives-en-cas-dabus-de-marcheou-pas/h/2a7531e13f8aa395d65a16bb7352ae49.html
Le 12/01/2018 à 16h49
Il s’agit du non cumul des peines pénales et des amendes administratives. Ca ne veut pas dire que l’amende administrative relève de la matière pénale.
Les règles de droit pénal ne s’appliquent pas en l’espèce. Mais en effet, ça empêche les poursuites devant le juge pénal pour les mêmes faits et la même infraction/manquement. On ne peut pas dire qu’il y a eu condamnation pénale pour autant.
J’avais pas compris que le =! consistait en : c’est différent.
Il s’agit uniquement de terminologie.
Le 12/01/2018 à 17h09
Le 09/01/2018 à 10h32
Toujours utiliser un UUID comme identifiant et surtout pas de nombre entier incrémenté !
Le 09/01/2018 à 10h36
Par contre ce serait bien que le prestataire ait au moins droit à un rappel à l’ordre.
Parce que pour le coup ils sont aussi responsables de ne pas avoir correctement sécurisé/développé le système…
Le 09/01/2018 à 10h38
Le 09/01/2018 à 10h42
Cela pose aussi la question de la sous-traitance qui est de plus en plus utilisé par les grosses boites pour se défausser de leur responsabilité. Malheureusement pour eux ça ne marche pas à tous les coups.
Le 09/01/2018 à 10h45
Le 09/01/2018 à 10h52
Le 09/01/2018 à 11h09
les petites aussi hein.
en matière d’hébergement les boites ne sont que très rarement auto-hébergées.
en matière d’e-commerce le pire étant les mails de bienvenue avec le rappel du login/mot de passe: tout le monde s’en fout, le prestataire comme le client.
Le 09/01/2018 à 11h16
Cependant, celle-ci lui a répondu « que les modifications, non aisées à déployer, n’étaient pas mises en place ».
Donc EPTICA considère son système normal et sécurisé ? " />
Je comprends l’avis de la CNIL mais si Darty n’a pas commandé cet outil, sa responsabilité est contestable. A part faire pression sur le presta je ne vois pas ce qu’ils auraient bien pu faire, et visiblement le presta s’en foutait royalement.
Le 09/01/2018 à 11h17
Il y a plusieurs trucs entre le donneur d’ordre et le presta :
Si la partie sécurité et confidentialité des documents étaient soient vides soient faiblardes, est-ce la faute du sous-traitant ? Quand bien même celui-ci aurait voix au chapitre, pas sur du tout que le donneur d’ordre suivent les recommandations.
De même, les tests et audits sont pas faits pour les chiens, même si cela à un coût non négligeable.
On fait auditer nos systèmes (et ceux fournis par les éditeurs) assez régulièrement, ce que l’on découvre parfois est juste effrayant… mais alors vraiment effrayant. Alors quand on balance un site e-commerce pour un gros client, on marche sur des œufs (dans le périmètre défini dans le contrat et selon les documents validés par le client " />)
Le 09/01/2018 à 11h29
Le 09/01/2018 à 11h30
Le contrat de confiance
Le 09/01/2018 à 11h37
Le 09/01/2018 à 11h56
Le 09/01/2018 à 14h33
Le 09/01/2018 à 14h40
Tout à fait d’accord, ça me rappelle la RGPD qui est très bien pour forcer un peu la main des grosses boites, mais bien délicate à mettre en place pour une PME/TPE qui va devoir se farcir un consultant en plus pour être dans les clous.
Le 09/01/2018 à 15h01
Tout à fait d’accord. Car dans ce cas, pourquoi se limiter à la responsabilité des sous-traitants informatiques ? Quand on fait appel à un sous-traitant, sa responsabilité devrait être engagé. Ici, on a l’impression que Darty paie tous les pots cassés.
De plus, je note une partie de la réponse de la CNIL :
si la société EPTICA a mis à disposition le formulaire accessible via l’URLhttp://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement ».
Dit autrement, si mon comptable, à qui je transmets mes justificatifs, décide d’outrepasser ses droits et de ne pas simplement tenir ma comptabilité, mais qu’il fait de la fraude fiscale ou que sais-je encore, je suis responsable de ce qu’il fait, mais pas lui ?
Ou encore, si je fais appel à un juriste pour un licenciement et qu’il se plante dans la procédure, c’est aussi moi le responsable ?
Alors oui, je serais responsable d’avoir choisi des prestataires. Mais si je fais appel à des prestataires, c’est pour avoir des personnes qualifiées pour faire leur boulot. Si je dois vérifier en détails si le travail fourni est bon, je ne ferais pas appel à des prestataires et je ferais le travail moi-même !
Personnellement, je me vois mal dire à mes clients, “si vous êtes condamnés pour une chose que j’ai faite, c’est que vous n’aviez qu’à choisir un autre prestataire !”
Pour en revenir à l’article, la sanction me parait bien lourde. Darty a, semble-t-il, agit comme il faut et à tout de suite coopérer avec la CNIL et a fait appel à son sous-traitant pour des mesures correctives. Qu’il y ait une certaine responsabilité de Darty d’engagée, je veux bien le concevoir, mais de là à passer directement à une sanction financière, alors que bien souvent, les sanctions consistent à un devoir de communication…
Le 09/01/2018 à 15h23
Le 09/01/2018 à 15h52
Je pense que la méthode de la CNIL qui consiste à taper contre le donneur d’ordre et l’utilisateur final du site web est la bonne. Le responsable n’étant au final que celui qui utilise le site sous son enseigne.
C’est une méthode très simple pour ne pas à savoir qui a fait quoi dans l’échelle de l’incompétence (Ce qui peut-être compliqué avec le jeu de la sous-traitance, sachant qu’il n’est même pas dit que le prestataire en contrat avec Darty ait créé lui-même le site web).
Il appartiendra ici à Darty de se retourner contre son prestataire pour demander des indemnités, prestataire qui se retournera contre ses propres prestataires si besoin est.
Le 09/01/2018 à 15h54
Le 09/01/2018 à 16h02
Le 09/01/2018 à 16h26
Au contraire ça oblige le passeur de commande à prendre ses responsabilités vis-à-vis de ses clients, même si “ce n’est pas leur métier” : ce n’est jamais le cas ! et un commerçant s’en fiche complètement de la sécurité de ces données, surtout si ça coute moins cher.
D’ailleurs la réponse du prestataire “trop compliqué à régler” donne une bonne idée de leur niveau technique.
Le 09/01/2018 à 16h48
Le 09/01/2018 à 17h02
Le 09/01/2018 à 17h02
Surtout qu’il y avait une solution très simple ! Darty n’ayant jamais demandé cela, il suffisait de fermer la page ! Plus de page, plus de fuite…
Le 09/01/2018 à 17h55
En conclusion et sans vouloir “troller” c’est oui pour vos exemples et je conclurai pas un adage assez connus les conseilleurs ne sont pas les payeurs.
D’où l’emploi d’un expert comptable pour faire vérifier le travail du comptable
L’emploi d’un avocat et la demande de l’avis de l’inspecteur du travail pour confirmer l’avis du juriste…
C’est vous le responsable légal ; Ensuite libre à vous de vous retourner vers les différents conseils et tribunaux contre les personnes incompétentes….
Le 09/01/2018 à 18h04
Le 09/01/2018 à 18h23
Le 09/01/2018 à 18h28
Ah le monde capitaliste, c’est pas facile.
D’abord il n’est pas possible de faire des lois “pour les TPE” car le Conseil Constit a déjà dit que cela rompt l’égalité devant la loi.
Si une TPE décide de fournir des services en lignes, cela a un coût, y compris la sécurité. Si on joue le jeu du capitalisme, on n’a pas à pleurer quand les règles ne sont pas correctes.
Si on est pas d’accord, on milite pour changer de système. Pas pour changer les règles en fonction de la tête du clients /humour.
Le 09/01/2018 à 18h35
Le 09/01/2018 à 18h44
Le 09/01/2018 à 18h50
Ben justement, les règles sont les mêmes pour tout le monde, et cher ou pas cher, TPE ou pas, tout le monde doit s’assurer que le service est sécurisé.
Pas de différence spéciale “parce que c’est un TPE”. C’est le jeu du capitalisme (légèrement encadré par la loi).
D’accord avec toi, si l’entreprise choisie est mauvaise, cher ou pas, elle est mauvaise. Mais si j’en crois la sacro-sainte “loi du marché”, l’entreprise mauvaise va disparaître, car trop chère et incompétente.
Ah, on me souffle que ça se passe pas comme ça dans la vraie vie. Mince, la loi du marché n’existe donc pas ?
Le 09/01/2018 à 18h55
Et je précise ma pensée: lorsque j’indique qu’il pourrait exister une distinction entre Darty-Fnac etc… et la PME de base, c’est sur un critère objectif: le fait ou non qu’une compétence en informatique existe au sein même de la boite (à minima parce qu’elle propose des prestas au consommateur dans ce domaine, ou tout simplement parce que je n’imagine pas qu’une boite de ce genre n’a pas un service informatique interne capable de vérifier qu’une simple URL permet d’accéder aux données clients sans identification).
Y a donc aucun rapport dans mon propos avec le “grand capital”.
Le 09/01/2018 à 18h56
Le 09/01/2018 à 19h31
Pour faire un parallèle : un chef d’entreprise est responsable de sa comptabilité et ne peut pas se décharger sur l’expert comptable en cas de faute.
En l’occurrence, le client se doit de s’assurer que ce que lui fourni son prestataire est conforme aux règlements et lois en vigueur.
Un exemple simple au niveau de l’IT : l’éditeur d’un progiciel que j’intègre chez un client a eu droit à un audit de sécurité de la part du client en question. Parce que l’application manipule des données personnelles (commandes, référencement clients, etc) et cet audit a révélé plein de failles dans le produit.
Résultat l’éditeur a du corriger tout ça, et gratos.
On ne peut pas se reposer sur un prestataire et se décharger en cas de défaillance de sa part. On peut lui infliger des pénalités ensuite oui, mais derrière c’est aussi au client de s’assurer que son presta ne fait pas de la merde.
Et comme généralement les clients veulent tout pour rien (“je veux un expert virtualisation/base de données/système/réseau/cobol pour 150€/jour”), bah ça fini mal.
Le 09/01/2018 à 19h35
Combien y a-t-il d’autres sites de ecommerce comme eux ? Ayant des failles béantes ? A mon avis un certain nombre.
Le 09/01/2018 à 19h52
Il n’empêche que pour les touts petits c’est un problème quasi insurmontable. Expérience en cours: organisation d’un congrès par une association (but non lucratif, les recettes servant à payer les dépenses). L’office du tourisme local propose “gentiment” de s’occuper de tout, ce qui comprend le paiement des frais d’inscription. Du coup prestation annexe: création du site web où l’on peut choisir quelques options et payer en ligne, franchement rien de compliqué.
Naturellement l’office du tourisme a sous-traité le développement web à son prestataire d’une incompétence abyssale. Système de mail avec copie sur une url à compteur façon Darty, mots de passe stockés en clair (je laisse deviner ce qui se passe quand on ajoute la faille n°1 à l’envoi du mot de passe oublié par mail). Le prestataire ne s’est pas demandé ce qui se passait quand sur la réservation d’un hôtel on partait avant d’arriver… J’en passe et des meilleures.
Ben pour le prestataire, c’est normal, éventuellement, en repassant à la caisse, on pourra regarder ce qui est faisable. L’assoc organisatrice du congrès fait quoi ? Elle se lance dans 5 ans de procès contre l’office du tourisme en espérant que le juge partage notre opinion comme quoi faute de clause spécifique le fait que le site web devait respecter la législation en matière de protection des données personnelles était implicite ?
Ou elle organise quand même le congrès en hurlant pour que les failles les plus visibles soient cachées un peu sous le tapis au risque de se faire condamner si quelqu’un regarde d’un peu trop près ?
Le 09/01/2018 à 20h31
Je suis tout à fait d’accord. J’ai fait un peu volontairement le candide dans mon commentaire afin de soulever un soucis : comment, quand on n’est pas un expert, s’assurer que la prestation / logiciel fourni par un prestataire est conforme aux règlements et lois en vigueur ?
Pour la compta, on prend un expert comptable. Très bien. Mais si lui fait des erreurs ? Je l’ai déjà vu, un expert comptable qui a réussi à déceler un problème de TVA lors de la facturation d’une prestation récurrente pour un client particulier. Et il a essayé de revenir 2 ans en arrière, sur des comptes… qu’il avait déjà lui-même validés !
Au final, qui est responsable en cas de redressement fiscal suite à un contrôle ? Le comptable, pour qui il n’y avait pas de soucis ? L’expert comptable, qui a réussi à valider à plusieurs reprises l’opération litigieuse ? La société, qui fait appel à un prestataire pour gérer sa compta et être conseillée ? Réponse : la société.
Ca me fait penser un peu à la Hadopi et le délit de “défaut de sécurisation”. On attend toujours la marche à suivre pour sécuriser sa connexion, mais on peut malgré tout être condamné.
L’aspect important, et je suis surpris que cela n’ait pas déjà été abordé, c’est la distinction entre “responsable” et “coupable”. Oui, dans le cas qui nous occupe, Darty est responsable, dans la mesure où c’est le donneur d’ordre. Mais il est aussi traité comme le coupable, et là, je trouve que c’est hautement plus discutable.
Qu’en tant que responsable on paie les conséquences d’une erreur ne me choque pas (par exemple, je n’ai pas payé ce que j’aurais dû aux impôts et on me demande la différence). Par contre, que le responsable soit condamné à la place du coupable (le responsable paie les pénalités ou pour Darty, est condamné à une amende), oui, là, ça me gêne.
Le 10/01/2018 à 00h14
Le test se fait en une minute, pas besoin d’être chercheur " />" />
Le 10/01/2018 à 08h07
Oui c’est vrai mais la CNIL averti d’abord. Donc la TPE n’a plus qu’a rompre son contrat avec le presta défaillant.
Ici DARTY a préféré conserver son presta…
Alors oui, perdre un outil peut couter du pognon, mais ca arrive dans d’autres domaines : un produit fournisseur testé toxique à retirer de la composition d’un produit (voir faire un rappel de produits déjà vendu) par exemple : tu vas aussi dire “ouais mais là c’est une TPE donc on va laisser faire. ” ?
Le 10/01/2018 à 09h00
Je ne pense pas qu’on puisse être généraliste dans ce genre d’histoire.
Darty est une entreprise qui a la capacité à avoir une DSI de part sa taille, et donc en mesure de contrôler ce que fait son prestataire. De plus, l’article indique bien qu’après premier contrôle, ils se sont retourné contre lui pour exiger la correction de l’anomalie.
Et suite à cela, le presta ne s’est pas exécuté.
Dans le lot, Darty est pour moi responsable de l’agissement de son prestataire (ils étaient conscients du problème soulevé par la CNIL puisque avertis) et coupable de négligence vis à vis de celui-ci car la mise en oeuvre de la correction n’a pas été réalisée. Et le presta se dédouane a coup de “oué mais c’est compliqué tu vois…”… Soit n’importe quoi.
Après tout dépend du contrat de prestation, mais derrière si Darty n’est pas en mesure d’imposer des pénalités ou des SLA sur l’exécution des ordres à son presta, ils sont clairement coupables de négligence dans le traitement de leurs données personnelles.
Par contre, dans le cas d’une TPE de 3 clampins, je pense que la CNIL se montrera peut être plus pédagogue que dans le cas d’une entreprise qui fait presque 4 milliards d’euros de CA.
Pour reprendre mon exemple personnel, si demain je fais un traitement qui siphonne la base cliente des enseignes pour qui je suis en prestation pour faire mumuse avec et que la CNIL tombe dessus, c’est le groupe (mon client) qui va se prendre l’avertissement, pas mon employeur ni moi-même. Sauf si les choses sont bien faites et que l’avertissement suffit à me faire virer et à supprimer mes conneries.
Par contre si le client dit “arrête ça” et que derrière je lui dit “oui oui” mais en réalité “cause toujours” et continue, pour moi il est fautif de ne pas s’être assuré que j’ai arrêté mes conneries.
Dans le cas présent, on a clairement une mauvaise volonté qui s’est installée dans l’histoire.
Le 10/01/2018 à 10h22
Le 10/01/2018 à 10h26
Le 10/01/2018 à 10h39
C’est pour ça que les sous-traitants spécialisés existent.
Il est INportant que Darty soit responsable pour les client et les références futures,
ET le sous-traitant puisqu’il est défaillant alors que c’est son domaine.
Le 10/01/2018 à 10h41
Le 10/01/2018 à 10h48