L’Agence espagnole de protection des données (AEPD) a récemment prononcé une amende de 3,2 millions d’euros à l’encontre de Centros Comerciales Carrefour S.A. Pour cause ? Une sécurisation insuffisante des comptes clients et une mauvaise gestion suite à des violations de données.
Mon Expert RGPD fait le point sur cette décision !
Que s’est-il passé ?
Carrefour a notifié à l’AEPD 5 violations de données personnelles entre octobre 2022 et septembre 2023. L’ensemble de ces attaques a été réalisé par credential stuffing. Ce type d’attaque consiste à réaliser des tentatives massives d’authentification sur des sites et services web. En l’occurrence, les attaquants s’étaient basés sur des combinaisons identifiants/mots de passe publiées sur internet afin d’accéder à des comptes clients sur l’application ou le site web de Carrefour Espagne.
Les informations compromises comprenaient notamment : le nom, le prénom, la date de naissance, l’adresse électronique, le numéro de téléphone, l’adresse complète, le numéro de document d’identité (DNI, NIE ou passeport), ainsi que les identifiants de connexion. Dans certains cas, des modifications non autorisées (adresse électronique, numéro de téléphone, adresse physique) ont été effectuées, et des détournements liés au programme de fidélité (« chequeAhorro ») ont été constatés.
Carrefour a reconnu que les attaquants ont pu accéder à 118 895 comptes, mais a précisé que seulement 973 clients ont réellement subi une atteinte à la confidentialité et 234 une violation de l’intégrité des données. Selon l’entreprise, ces accès frauduleux ont été possibles en raison de la réutilisation de mots de passe obtenus sur d’autres services et non d’une faille de sécurité interne.
Cet article pourrait aussi vous intéresser : Que faire en cas de violation de données personnelles ? Guide complet
Qu’est-il reproché à Carrefour Espagne ?
L’autorité de protection des données espagnole reproche à la société :
- l’absence d’information et l’information incomplète des personnes concernées suite aux violations de données. L’AEPD constate que Carrefour n’a pas informé les personnes concernées lors des trois premières violations, et que, pour les deux dernières, elle s’est contentée de communications génériques, sans mention explicite d’une fuite de données ni des risques encourus.
- le non-respect de son obligation d’intégrité et de confidentialité des données. Carrefour conteste avoir manqué à son obligation de préserver l’intégrité et la confidentialité des données. Elle soutient que les identifiants utilisés lors des attaques provenaient de fuites externes et non de ses propres systèmes, et que seules 973 personnes ont subi une atteinte à la confidentialité, tandis que 234 ont connu une atteinte à l’intégrité. Toutefois, l’AEPD rappelle qu’il y a perte de confidentialité dès qu’un tiers accède sans autorisation aux données personnelles, même sans usage frauduleux avéré. Ainsi, le fait que des identifiants aient pu être validés dans l’environnement de Carrefour, sans blocage ou détection adéquate, constitue une atteinte à l’intégrité et à la confidentialité des données
- manque de sécurité du traitement. Carrefour affirme avoir mis en place un double facteur d’authentification sur son application dès mars 2023 et disposer d’un niveau de sécurité supérieur à la moyenne, attesté par un audit externe. Cependant, l’AEPD estime que les mesures de sécurité mises en œuvre n’étaient pas suffisantes pour détecter ou bloquer des attaques massives provenant de milliers d’adresses IP. Plusieurs recommandations issues de tests de sécurité n’ont pas été appliquées dans des délais raisonnables, notamment pour des vulnérabilités critiques ou moyennes. Le double facteur d’authentification sur le site web n’a été activé qu’en octobre 2023, bien après les incidents. L’AEPD considère ainsi que ces mesures correctrices ont été prises de manière réactive, tardive et incomplète.
Quelles sont les sanctions ?
L’autorité de protection de données a condamné Centros Comerciales Carrefour S.A. à une amende de 3,2 millions d’euros. L’autorité a également exigé que Carrefour communique correctement les violations de données aux personnes concernées dans un délai d’1 mois.
Cet article pourrait aussi vous intéresser : Violations de données en hausse : la CNIL donne l’alerte
Que pouvez-vous faire pour éviter une telle sanction ?
Diverses mesures peuvent être mises en place pour éviter de se voir infliger une telle sanction :
- anticiper et mettre en place des mesures de sécurité adaptées à la fréquence et ampleur des attaques ainsi qu’aux risques encourus
- en cas de violation, identifier les failles de sécurité ayant conduit à la violation et y remédier rapidement. Cela pourra notamment impliquer : des mises à jour logicielles, des changements de mots de passe, une meilleure sensibilisation et formation du personnel, des chiffrements de données sensibles, la segmentation du réseau pour éviter que les attaques se propagent, des sauvegardes régulières etc.
- informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé à leurs droits et libertés. Cette notification doit contenir plusieurs informations : la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables de la violation ainsi que les mesures prises ou proposées pour remédier à la violation. La notification devra par ailleurs être accompagnée de conseils pour que les personnes concernées puissent limiter l’impact de la violation (changement de mot de passe par exemple), des mesures que l’entreprise est prête à mettre en œuvre pour les assister et les coordonnées de l’entreprise.
Conclusion
Cette décision de l’autorité de protection des données espagnole rappelle ainsi que l’obligation de sécurité et de confidentialité des données s’étend au-delà de la simple prévention des fuites internes : elle impose aussi d’anticiper et de contrer les attaques extérieures, même si celles-ci exploitent des données compromises sur d’autres sites internets.
à 
