DHL multiplie les « a peu près » et est sanctionné par la CNIL. Une de ses applications informatiques mal conçue a diffusé 600 000 fiches clients sur internet. Le transporteur pourtant averti d’une faille interne n’a pas procédé à une vérification. De plus, DHL conservait les données personnelles beaucoup trop longtemps.
La CNIL se fâche contre DHL. Le transporteur aura beaucoup trop tardé pour protéger les données personnelles de ses clients. Plus de 600 000 fiches dont certaines relèvent de l’intimité des personnes, étaient très largement accessibles sur internet car elles étaient référencées dans un moteur de recherche.
Etat de santé et digicode
Ces fiches comportent l’identité, l’adresse, les numéros de téléphone et adresses électroniques des personnes concernées ainsi que certaines informations détaillées permettant de faciliter la livraison des colis, telles que les indisponibilités pour raisons de santé ou la sécurisation des accès aux logements.
La CNIL relève que bien qu’ayant eu connaissance d’une faille affectant les accès internes de l’application litigieuse, DHL n’avait pour autant entrepris aucune démarche de vérification de la sécurité de l’ensemble de l’application qui lui aurait permis d’isoler la fuite de données. La CNIL rappelle que la société demeurait responsable de traitement quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application.
Pas de durée de conservation définie
De plus, DHL n’avait pas défini de durée de conservation adaptée à la finalité de son traitement de « relivraison » des colis dans la mesure où les fiches clients les plus anciennes dataient de 2007. Du fait du nombre de personnes concernées et de la nature des données rendues librement accessibles, l’avertissement de la CNIL a été rendu public le 19 Juin.
La CNIL avait été alertée d’une potentielle faille de sécurité affectant les données des clients de DHL, et avait effectué un contrôle sur place le 19 février 2014. Elle avait alors relevé que 684 778 fiches clients de la société, qui sollicitaient la « relivraison » de leur colis, étaient librement accessibles sur Internet.
DHL a indiqué avoir bloqué ces accès et l’a justifié, le 28 février 2014. Malgré cette régularisation, les faits constatés ont conduit la CNIL à initier une procédure de sanction qui s’est conclue, le 12 juin 2014, par le prononcé d’un avertissement public à l’encontre de la société.
