Relais Colis corrige ses failles de sécurité (MAJ et droit de réponse)

Alexandre Boero Contributeur
05 janvier 2019 à 09h01
0
relais colis.jpg

Le réseau de livraison français Relais Colis a laissé fuiter les données personnelles de ses clients durant plusieurs mois.

Mise à jour du 10/01/2019 :

Titre original de l'article : Relais Colis expose les données personnelles de ses clients durant des mois.

La société Relais Colis SAS nous a contacté afin de demander correction des propos de cet article. En effet, la société déclare n'avoir subit aucune fuite de données mais des dysfonctionnements mineurs concernant des données non-sensibles.

Retrouvez l'intégralité de la déclaration de Relais Colis, dans son droit de réponse, en dessous de l'article.

Premier réseau de livraison de colis aux particuliers avec 39 millions de commandes livrées chaque année dans les quelque 5 600 relais de proximité situés en France et en Belgique, Relais Colis est un poids lourd de la distribution de colis. Pourtant, ce statut ne met pas la société à l'abri de dérives numériques comme la fuite de données personnelles, une situation qui l'a touchée durant plusieurs mois, ainsi que le révèle Zataz.

Des informations accessibles via un espace non-sécurisé

Le site spécialisé en sécurité informatique et en cybersécurité explique que via un espace web non sécurisé (qui ne demandait donc ni mot de passe, ni identification, et qui peut fonctionner avec ou sans HTTPS), il a été possible d'accéder à de nombreuses informations personnelles de clients du réseau de livraison.

Si, selon Relais Colis, la fuite n'est plus d'actualité, celle-ci permettait, en cliquant sur un lien rattaché à un courrier électronique, de faire apparaître un menu. À partir de là, il était possible, en cliquant sur une date de commande, d'obtenir le bilan, l'identité des clients, le numéro de la commande, la date de gestion ainsi que l'adresse électronique de la boutique censée être destinataire du colis.

La CNIL a été informée de la fuite

Fort heureusement, les données bancaires n'ont pas fuité. Mais les données personnelles révélées étaient déjà largement suffisantes pour pouvoir intercepter le paquet.

Comme l'indique Zataz, la page liée aux données personnelles a été mise en place avant le RGPD du 25 mai 2018. Cela n'empêchera pas la CNIL, qui a été saisie, de se pencher sur le dossier, surtout si la fuite a pu persister au-delà de l'entrée en vigueur du règlement.

Déclaration de la société Relais Colis SAS suite à l'article ci-dessus :
Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD).
De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.
A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C'est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.

Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.

Concernant les deux dysfonctionnements remontés :
• Sur le http au lieu de https : suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème.
• Sur le suivi de colis : ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d'ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n'ont une durée de vie que très courtes et ne concernent que les expéditions qui n'ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n'apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.

Nous souhaitons donc rassurer sur le fait qu'il n'y a pas eu de fuites de données personnelles.

Sur notre site « www.relaiscolis.com », nous avons fait le nécessaire pour que chaque utilisateur puisse nous contacter concernant toute question relative au RGPD, via le lien qui se trouve dans l'onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ».

L'utilisateur peut directement adresser sa requête à : protectiondesdonnees@relaiscolis.com.
Sachez que nous n'avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l'adresse mail « protectiondesdonnees@relaiscolis.com » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles.

Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs.

Modifié le 10/01/2019 à 10h53
4 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Journée de la communauté Clubic.com : c'était samedi, c'était comment ?
Le Conseil constitutionnel confirme que l'huile de palme n'est pas un biocarburant
M6 victime d'une cyberattaque affectant l'ensemble des employés du groupe
Fortnite avalé par un trou noir... en pause avant un nouveau chapitre ?
L'énergie renouvelable est la principale source d'électricité au Royaume-Uni
Le géant de la réservation hôtelière Booking quitte lui aussi le navire Libra
Xavier Niel défend le projet Libra... dans lequel il a investi
Linky : une étude de l'ANFR ne relève aucune exposition anormale aux ondes radioélectriques
Gears 5 : 640 jours de ban pour des ragequit à répétition...
FUELL annonce l'arrivée de ses vélos électriques en France pour début novembre

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top