Protection des données persos : la dose de Ricard était trop limitée

La société Ricard, célèbre pour son pastis, a été rattrapé au collet par la CNIL lors d’un contrôle en ligne de son site vitrine. L’autorité administrative, en charge de la protection des données personnelles, a prononcé un avertissement public à son encontre pour défaut de sécurité des données de ses clients.

En effectuant un contrôle en ligne du site www.ricard.com (le 9 juillet 2015) présenté comme « le site officiel du Pastis de Marseille », la CNIL a relevé que les mesures garantissant la confidentialité des données des clients étaient insuffisantes. En particulier sur les volets de l’adhésion à un programme de fidélité et la commande d’objets promotionnels de la marque de boissons alcoolisées.

Les contrôleurs de la CNIL ont pu aisément accéder à plusieurs milliers de données contenus dans les répertoires du site Web (nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients…).

Même si la CNIL n’a pas relevé d’indexation des données sur Internet, elle considère que l’exploitation des données ne donnait pas lieu aux mesures de sécurité adéquates.

Il a fallu s’y prendre à deux reprises (entre juillet et novembre 2015) pour que la situation soit vraiment régularisée.

Les failles de sécurité sont désormais colmatées mais la CNIL a engagé une procédure de sanction (non financière) avec publication d’un avertissement public « afin, notamment, de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées, y compris lorsqu’ils font appel à un sous-traitant ».

Au-delà de l’image d’Epinal qui associe Ricard au pastis (et vice-versa), ce groupe français, « leader des spiritueux en France », réalise un chiffre d’affaires de 500 millions d’euros et emploie 800 personnes.

(Crédit photo : Shutterstock.com)