Avertissement public de la CNIL pour une fuite de ses données clients

Avertissement de la CNIL du 12 juin 2014

Suite à une alerte sur une potentielle faille de sécurité affectant les données des clients de la société DHL, la CNIL a effectué un contrôle le 19 février 2014 au sein de cette dernière. Au cours de ce contrôle, la CNIL a constaté que des centaines de milliers de fiches clients de la société, qui sollicitaient la « relivraison » de leur colis, étaient librement accessibles sur internet. Lesdites fiches clients comportaient l’identité, l’adresse, les numéros de téléphone et les adresses électroniques des personnes concernées, ainsi que certaines informations détaillées permettant de faciliter la livraison des colis (indisponibilité pour raisons de santé, sécurisation des accès aux logements, …). La société DHL a affirmé que ce problème concernait l’application informatique dédiée à la « relivraison » des colis, et avoir pris les mesures correctives rendant inaccessibles les données litigieuses. La CNIL a cependant prononcé un avertissement public le 12 juin 2014 à l’encontre de la société, aux motifs (i) que les données concernées, dont certaines relèvent de l’intimité des personnes, étaient très facilement et très largement accessibles, car elles étaient référencées dans un moteur de recherche, (ii) que la société, qui avait connaissance de cette faille, n’a entrepris aucune démarche de vérification de la sécurité de l’ensemble de l’application lui permettant ainsi d’isoler la fuite de données, et (iii) que la société aurait dû définir une durée de conservation adaptée à la finalité du traitement de « relivraison », alors que certaines fiches clients dataient de 2007 ….