Action concernant la société BIO&CO suite à une faille de sécurité sur SALONBIOECO.COM dévoilant les noms et coordonnées des participants de ses salons

La société BIO&CO organise des salons en France. Pour y participer, la société invitait les personnes intéressées à se rendre sur son site, « SALONBIOECO.COM », et à remplir un formulaire pour obtenir une « invitation » gratuite (au lieu de 5€).

Une fois le formulaire rempli et validé, l’internaute était redirigé vers une page contenant son invitation. Cette page était toutefois librement accessible et son adresse était composée d’un numéro incrémental. En changeant simplement ce numéro, les invitations de tous les autres participants du salon pouvaient être consultées.

D’après une estimation fondée sur ce numéro, les noms et coordonnées (postales et électroniques) de plus d’un millier de personnes étaient ainsi publiquement accessibles.

Un signalement a été déposé à la CNIL pour demander que l’accès aux données à caractère personnelles soit restreint dans les meilleurs délais et pour demander que les personnes soient informées que leurs données ont pu être consultées ou dérobées par une personne non autorisée.

Dans la mesure où la société BIO&CO affirmait que les données saisies par les visiteurs lors de leur inscription ne font l’objet d’« aucun traitement », il a également été demandé à la CNIL que les données des visiteurs soient supprimées.

La Commission a répondu, trois semaines plus tard, que « la CNIL est intervenue […] auprès de l’organisme mis en cause auquel il a été rappelé : ses obligations en matière de sécurité des traitements de données à caractère personnel [et] ses obligations en matière de minimisation des données » :

« La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause auquel il a été rappelé :
- ses obligations en matière de sécurité des traitements de données à caractère personnel qu’il effectue en vertu des articles 32, 33 et 34 du RGPD ; les échanges intervenus entre les services de la CNIL et la société ayant abouti à la correction de cette faille de sécurité ;
- ses obligations en matière de minimisation des données prévues par l’article 5-1 du Règlement général sur la protection des données (RGPD) au moment de la collecte des coordonnées postales des usagers via le formulaire d’inscription à une invitation gratuite pour un salon. »

Un mois après ce signalement, les données des visiteurs n’étaient plus publiquement accessibles.

Cette action est désormais terminée.

Chronologie des événements :

29 oct. 2023

18:59

Plainte déposée à la CNIL

La plainte n° 44-41863 a été déposée à la CNIL pour demander de restreindre dans les meilleurs délais l’accès aux données à caractère personnel des visiteurs, d’informer les visiteurs que leurs données à caractère personnel étaient publiquement accessibles et ont pu être consultées ou dérobées par des tiers non autorisés et de supprimer les données à caractère personnel des visiteurs collectées inutilement

Documents

Plainte BIOnCO Data Breach.pdf

2 nov. 2023

10:35

Plainte transmise

La plainte n° 44-41863 a été transmise au service de l’exercice des droits et des plaintes de la CNIL.

23 nov. 2023

18:26

Message de la CNIL

La CNIL a indiqué que « la CNIL est intervenue […] auprès de l’organisme mis en cause auquel il a été rappelé : ses obligations en matière de sécurité des traitements de données [...et] ses obligations en matière de minimisation des données »

Voir le message intégral

Monsieur,

Vous avez adressé à la Commission nationale de l'informatique et des libertés (CNIL) une réclamation à l'encontre de la société BIO & CO relative :
aux garanties de sécurité et à la confidentialité appliquées aux données à caractère personnel mises en œuvre par cette société ;
à un non-respect de l'obligation de minimisation des données lors du remplissage du formulaire d'inscription à une invitation gratuite pour un salon.

La CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause auquel il a été rappelé :

- ses obligations en matière de sécurité des traitements de données à caractère personnel qu'il effectue en vertu des articles 32, 33 et 34 du RGPD ; les échanges intervenus entre les services de la CNIL et la société ayant abouti à la correction de cette faille de sécurité ;

- ses obligations en matière de minimisation des données prévues par l'article 5-1 du Règlement général sur la protection des données (RGPD) au moment de la collecte des coordonnées postales des usagers via le formulaire d'inscription à une invitation gratuite pour un salon.

Pour obtenir plus d'informations sur la règlementation applicable, vous pouvez consulter le site web de la CNIL : https://www.cnil.fr/fr/les-violations-de-donnees-personnelles.

Compte-tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte.

Sous réserve de votre intérêt à agir, vous pouvez contester cette décision de clôture en saisissant le Conseil d'État dans un délai de 2 mois à compter de la date de notification de ce courrier.

Je vous prie d'agréer mes salutations distinguées.

Par délégation de la Présidente

[RETIRÉ]

Chargée d'instruction juridique au service de l'exercice des droits et des plaintes

30 nov. 2023

Constatation

Il a été constaté que les données des visiteurs n’étaient plus publiquement accessibles.