Relais Colis corrige ses failles de sécurité (MAJ et droit de réponse)

10 janvier 2019 à 10h53
4
relais colis.jpg

Le réseau de livraison français Relais Colis a laissé fuiter les données personnelles de ses clients durant plusieurs mois.

Mise à jour du 10/01/2019 :

Titre original de l'article : Relais Colis expose les données personnelles de ses clients durant des mois.

La société Relais Colis SAS nous a contacté afin de demander correction des propos de cet article. En effet, la société déclare n'avoir subit aucune fuite de données mais des dysfonctionnements mineurs concernant des données non-sensibles.

Retrouvez l'intégralité de la déclaration de Relais Colis, dans son droit de réponse, en dessous de l'article.

Premier réseau de livraison de colis aux particuliers avec 39 millions de commandes livrées chaque année dans les quelque 5 600 relais de proximité situés en France et en Belgique, Relais Colis est un poids lourd de la distribution de colis. Pourtant, ce statut ne met pas la société à l'abri de dérives numériques comme la fuite de données personnelles, une situation qui l'a touchée durant plusieurs mois, ainsi que le révèle Zataz.

Des informations accessibles via un espace non-sécurisé

Le site spécialisé en sécurité informatique et en cybersécurité explique que via un espace web non sécurisé (qui ne demandait donc ni mot de passe, ni identification, et qui peut fonctionner avec ou sans HTTPS), il a été possible d'accéder à de nombreuses informations personnelles de clients du réseau de livraison.

Si, selon Relais Colis, la fuite n'est plus d'actualité, celle-ci permettait, en cliquant sur un lien rattaché à un courrier électronique, de faire apparaître un menu. À partir de là, il était possible, en cliquant sur une date de commande, d'obtenir le bilan, l'identité des clients, le numéro de la commande, la date de gestion ainsi que l'adresse électronique de la boutique censée être destinataire du colis.

La CNIL a été informée de la fuite

Fort heureusement, les données bancaires n'ont pas fuité. Mais les données personnelles révélées étaient déjà largement suffisantes pour pouvoir intercepter le paquet.

Comme l'indique Zataz, la page liée aux données personnelles a été mise en place avant le RGPD du 25 mai 2018. Cela n'empêchera pas la CNIL, qui a été saisie, de se pencher sur le dossier, surtout si la fuite a pu persister au-delà de l'entrée en vigueur du règlement.

Déclaration de la société Relais Colis SAS suite à l'article ci-dessus :
Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD).
De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.
A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C'est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.

Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.

Concernant les deux dysfonctionnements remontés :
• Sur le http au lieu de https : suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème.
• Sur le suivi de colis : ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d'ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n'ont une durée de vie que très courtes et ne concernent que les expéditions qui n'ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n'apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.

Nous souhaitons donc rassurer sur le fait qu'il n'y a pas eu de fuites de données personnelles.

Sur notre site « www.relaiscolis.com », nous avons fait le nécessaire pour que chaque utilisateur puisse nous contacter concernant toute question relative au RGPD, via le lien qui se trouve dans l'onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ».

L'utilisateur peut directement adresser sa requête à : protectiondesdonnees@relaiscolis.com.
Sachez que nous n'avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l'adresse mail « protectiondesdonnees@relaiscolis.com » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles.

Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
0
manu0086
Hummm, ce sont les données de quels clients exactement? ceux du même point relais? ceux du client de la commande? tous les clients du jour partout en france? (ça doit afficher une liste monstrueuse)
Biggs
Franchement à l’avenir, ça devient plus rapide de lister les organismes qui n’ont PAS laissé fuiter les données personnelles de leurs clients plutôt que l’inverse.
twist_54
Oui par définition nous sommes des sacs à merde puisqu’en digestion permanente.<br /> Blague mise à part, entre des millions de Français qui se déplacent en voiture et quelques milliers de livreurs… je mise sur les livreurs qui vont livrer une référence de produit qui me correspond et que je ne trouverai pas en boutique, même en faisant 10 avec mon vieux diesel à filtre à particule de 2008.
Voir tous les messages sur le forum

Actualités du moment

Huawei punit deux employés pour avoir souhaité la bonne année avec un iPhone
BitTorrent lance sa propre cryptomonnaie : le BTT
Nvidia, PlayStation, Netflix, Free mobile : l’essentiel de l'actu tech’ de la semaine
⚡️ Ys VIII: Lacrimosa of DANA - Adventurer's Edition sur Switch à 34€
Un petit jeu gratuit tous les jours, le pari du launcher de Meditations
Nissan présente Invisible-to-Visible : le tableau de bord augmenté et 360°
Indiescovery hors-série : retour sur 2018
Les premières puces Exynos Auto de Samsung arriveront sur les futures Audi
Nintendo : une Switch Pro et une Switch Lite attendues en 2019 ?
⚡️ Bon Plan : Câble HDMI 2.0 Haut Débit 5M HUANGTAOLI à 10€
Haut de page