Relais Colis corrige ses failles de sécurité (MAJ et droit de réponse)

05 janvier 2019 à 09h01
0
relais colis.jpg

Le réseau de livraison français Relais Colis a laissé fuiter les données personnelles de ses clients durant plusieurs mois.

Mise à jour du 10/01/2019 :

Titre original de l'article : Relais Colis expose les données personnelles de ses clients durant des mois.

La société Relais Colis SAS nous a contacté afin de demander correction des propos de cet article. En effet, la société déclare n'avoir subit aucune fuite de données mais des dysfonctionnements mineurs concernant des données non-sensibles.

Retrouvez l'intégralité de la déclaration de Relais Colis, dans son droit de réponse, en dessous de l'article.

Premier réseau de livraison de colis aux particuliers avec 39 millions de commandes livrées chaque année dans les quelque 5 600 relais de proximité situés en France et en Belgique, Relais Colis est un poids lourd de la distribution de colis. Pourtant, ce statut ne met pas la société à l'abri de dérives numériques comme la fuite de données personnelles, une situation qui l'a touchée durant plusieurs mois, ainsi que le révèle Zataz.

Des informations accessibles via un espace non-sécurisé

Le site spécialisé en sécurité informatique et en cybersécurité explique que via un espace web non sécurisé (qui ne demandait donc ni mot de passe, ni identification, et qui peut fonctionner avec ou sans HTTPS), il a été possible d'accéder à de nombreuses informations personnelles de clients du réseau de livraison.

Si, selon Relais Colis, la fuite n'est plus d'actualité, celle-ci permettait, en cliquant sur un lien rattaché à un courrier électronique, de faire apparaître un menu. À partir de là, il était possible, en cliquant sur une date de commande, d'obtenir le bilan, l'identité des clients, le numéro de la commande, la date de gestion ainsi que l'adresse électronique de la boutique censée être destinataire du colis.

La CNIL a été informée de la fuite

Fort heureusement, les données bancaires n'ont pas fuité. Mais les données personnelles révélées étaient déjà largement suffisantes pour pouvoir intercepter le paquet.

Comme l'indique Zataz, la page liée aux données personnelles a été mise en place avant le RGPD du 25 mai 2018. Cela n'empêchera pas la CNIL, qui a été saisie, de se pencher sur le dossier, surtout si la fuite a pu persister au-delà de l'entrée en vigueur du règlement.

Déclaration de la société Relais Colis SAS suite à l'article ci-dessus :
Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD).
De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.
A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C'est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.

Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.

Concernant les deux dysfonctionnements remontés :
• Sur le http au lieu de https : suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème.
• Sur le suivi de colis : ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d'ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n'ont une durée de vie que très courtes et ne concernent que les expéditions qui n'ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n'apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.

Nous souhaitons donc rassurer sur le fait qu'il n'y a pas eu de fuites de données personnelles.

Sur notre site « www.relaiscolis.com », nous avons fait le nécessaire pour que chaque utilisateur puisse nous contacter concernant toute question relative au RGPD, via le lien qui se trouve dans l'onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ».

L'utilisateur peut directement adresser sa requête à : protectiondesdonnees@relaiscolis.com.
Sachez que nous n'avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l'adresse mail « protectiondesdonnees@relaiscolis.com » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles.

Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs.

Modifié le 10/01/2019 à 10h53
4
0
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

La planète est confinée ! Le ralentissement est visible depuis l'espace.
L'union sacrée des télécoms européens, qui vont partager leurs données pour lutter contre le coronavirus
La dernière mise à jour de Windows 10 provoque une fois de plus pannes et ralentissements
Confinement : la nouvelle attestation de déplacement dérogatoire est disponible en téléchargement
L'empreinte carbone issue de la consommation des Français a chuté de deux-tiers avec le confinement
Coronavirus : le traçage numérique
Comment choisir la bonne diagonale pour son téléviseur ?
Elon Musk fait un don de 50 000 masques et 1200 respirateurs... pour se racheter ?
Confinement : le gouvernement durcit les restrictions
Coup dur chez HPE : des SSD destinés aux entreprises pourraient se briquer après 40 000 heures
scroll top