Sécurité et confidentialité des données : avertissement public de la CNIL à une société de livraison

Par délibération du 12 juin 2014, la CNIL a prononcé un avertissement public à l’encontre d’une société dont un contrôle avait permis de révéler que des fiches clients contenant "des données relatives à l’identité, à l’adresse des personnes, à leurs numéros de téléphone et adresses téléphoniques ainsi que parfois des instructions détaillées de livraison" étaient en accès libre sur un moteur de recherche. Pour expliquer l’origine de cette faille de sécurité, la société indique qu’il s’agissait d’un défaut de conception de l’application par un sous-traitant. Cependant, la CNIL rappelle que "la responsabilité [d’un défaut dans la conception de l’application] incombe nécessairement à la société en tant que responsable de traitement et ceci qu’elle qu’en soit l’origine réelle". La CNIL relève que malgré les dispositions prises par la société suite au contrôle pour limiter l’effet du défaut de sécurisation de l’application, "la société n’a entrepris aucune démarche pour vérifier la sécurité de l’ensemble de l’application" et qu’"elle est ainsi restée dans l’ignorance de la seconde faille de sécurité, révélée lors du contrôle".

Pour lire la délibération de la CNIL