La Commission nationale de l’informatique et des libertés (Cnil) a prononcé un avertissement public à l’encontre du fabricant de pastis Ricard (Pernod Ricard) car des données de ses clients étaient accessibles librement sur internet, a-t-elle indiqué mardi 24 mai.
En réalisant le 9 juillet 2015 un contrôle en ligne du site www.ricard.com, qui a pour objet de proposer aux clients d’adhérer à un programme de fidélité et de commander des objets promotionnels, la Commission a relevé que les mesures garantissant la confidentialité des données des clients étaient « insuffisantes », a-t-elle expliqué dans un communiqué.
Les contrôleurs de la Cnil ont en effet pu accéder librement à plusieurs milliers de données contenues dans les répertoires du site web, dont les noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone et des informations relatives aux cartes bancaires des clients. Certains de ces répertoires, bien qu’exclus d’une indexation sur internet, « ne faisaient pas l’objet de mesure de sécurité particulière permettant d’en restreindre l’accès alors qu’ils contenaient de nombreuses données personnelles », a souligné la Cnil.
Les données toujours accessibles malgré les mesures prises
Immédiatement informé de cette faille de sécurité, Ricard a indiqué avoir bloqué l’accès aux données par l’intermédiaire de son hébergeur, raconte-t-elle. Mais un second contrôle, le 27 novembre 2015, a montré que les données étaient toujours accessibles, en interrogeant les adresses URL d’accès direct aux fichiers litigieux.
La Cnil a donc engagé une procédure de sanction, à l’issue de laquelle un « avertissement public » a été prononcé. La société encourait une amende de 150 000 euros.
La sous-traitance n’exonère pas des obligations
La « formation restreinte », chargée de juger ce genre d’affaires, a notamment estimé que Ricard a manqué à son obligation de veiller à la sécurité et la confidentialité des données nominatives. Le fait d’avoir sous-traité l’hébergement de son site web et la gestion de son contenu à des prestataires extérieurs ne l’exonérait pas de ses obligations légales, a-t-elle également noté, ajoutant que l’absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement.
La Cnil précise que Ricard a, depuis, corrigé cette faille de sécurité, et que les données ne sont plus accessibles sur Internet. Contacté par l’AFP, le groupe Pernod Ricard n’a pas réagi dans l’immédiat.
Auteur : La Rédaction avec AFP
Plus d’actualité sur : Protection des données : le règlement européen adopté
Et lire aussi : Tout savoir sur les missions du futur Délégué à la protection des données (DPO)
