BFM Tech

Ricard a laissé négligemment trainer des données clients sur le web

-

- - Pixabay

Les noms, adresses et numéros de téléphone des adhérents à son programme de fidélité étaient librement accessibles, sans aucune restriction.

Dans l'équipe web de Ricard, l'ambiance ne doit pas être très festive en ce moment. La Commission nationale de l'informatique et des libertés (Cnil) vient en effet de prononcer un avertissement public à l'encontre du fabricant de pastis Ricard (Pernod Ricard) car des données de ses clients étaient accessibles librement sur internet, a-t-elle indiqué mardi.

En réalisant le 9 juillet 2015 un contrôle en ligne du site www.ricard.com, qui a pour objet de proposer aux clients de d'adhérer à un programme de fidélité ("Place Ricard") et de commander des objets promotionnels, la Commission a relevé que les mesures garantissant la confidentialité des données desdits clients étaient "insuffisantes", a-t-elle expliqué dans un communiqué.

En réalité, la Commission aurait très pu dire "inexistantes". Ses contrôleurs ont en effet pu accéder librement à plusieurs milliers de données contenues dans les répertoires du site web, dont les noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone et des informations relatives à des paiements (date, montant et statut de la transaction, moyen de paiement utilisé, adresse électronique associée). Ces répertoires, bien qu'exclus d'une indexation sur internet, "ne faisaient pas l'objet de mesure de sécurité particulière permettant d'en restreindre l'accès alors qu'ils contenaient de nombreuses données personnelles", a souligné la Cnil. Pour trouver ces dossiers, les enquêteurs n'avaient pas à se fouler beaucoup. Il leur suffisait de lire le fichier "www.ricard.com/robots.txt" qui indique aux moteurs de recherche les pages qu'ils doivent indexer ou non, comme on peut le lire dans la délibération.

Comportement récidiviste

Immédiatement informée de cette faille de sécurité, la société Ricard a indiqué avoir bloqué l'accès aux données, par l'intermédiaire de son hébergeur, raconte-t-elle. Mais un second contrôle, le 27 novembre 2015, a montré que les données étaient toujours accessibles, en interrogeant les adresses URL d'accès direct aux fichiers litigieux. La Cnil a donc engagé une procédure de sanction, à l'issue de laquelle un "avertissement public" a été prononcé. La société s'en sort plutôt bien car elle encourait une amende de 150.000 euros.

La "formation restreinte", chargée de juger ce genre d'affaires, a notamment estimé que Ricard a manqué à son obligation de veiller à la sécurité et la confidentialité des données nominatives. Le fait d'avoir sous-traité l'hébergement de son site web et la gestion de son contenu à des prestataires extérieurs ne l'exonérait pas de ses obligations légales, a-t-elle également noté, ajoutant que l'absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement. La Cnil précise que Ricard a, depuis, corrigé cette faille de sécurité, et que les données ne sont plus accessibles sur internet. Contacté par l'AFP, le groupe Pernod Ricard, propriétaire du célèbre pastis, n'a pas réagi dans l'immédiat.

La rédaction, avec AFP