Par une décision en date du 8 janvier 2018, la CNIL (Commission nationale de l’informatique et des libertés) a sanctionné la société Darty pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de SAV : une défaillance de sécurité permettait en effet d’accéder librement à l’ensemble des demandes et des données (nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone) renseignées par les clients de la société, via un formulaire en ligne.
Pour la CNIL, le fait de faire appel à un prestataire sous-traitant ne décharge pas la société de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû en effet s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.
A compter du 25 mai 2018 (entrée en application de la nouvelle règlementation sur la protection des données personnelles), et outre l’obligation pour les personnes concernées de notifier à la CNIL toute violation de données personnelles, les sanctions en cas de manquement à l’obligation de sécurité pourront s’élever à 10 millions d’euros ou à 2% du chiffre d’affaires annuel mondial de l’entreprise.