Les données de 300 000 clients d’Yves Rocher ont été exposées à cause d’une faille informatique. Une erreur temporaire et sans conséquences pour les clients du groupe.
Petite crise chez Yves Rocher. Pendant plusieurs heures, les données de 300 000 clients canadiens de la marque ont été accessibles en ligne, incluant noms, prénoms et codes postaux. Ce qui aurait pu être une véritable aubaine pour les hackers, pirates et arnaqueurs en ligne a finalement permis au groupe de cosmétiques de vérifier ses paramètres de cybersécurité !
« Suite à une erreur de paramétrage lors d’un test réalisé par un prestataire informatique de la marque Yves Rocher sur le marché canadien, certaines données de clientes canadiennes ont été rendues potentiellement accessibles pendant plusieurs heures en août dernier » précise une porte-parole du groupe Yves Rocher.
Cette faille dans la sécurité informatique du groupe cosmétique provient d’une erreur d’un prestataire du cabinet de conseil de l’enseigne, Aliznet.
« Un serveur pas assez protégé »
« Un événement était organisé chez Yves Rocher il y a quelques jours. Pour l’occasion, on a ouvert un serveur d’intégration pour procéder à des tests, qui n’était pas assez protégé », s’explique le prestataire du cabinet de conseil. C’est la société israélienne de cybersécurité vpnMentor qui a détecté la faille, et a ainsi pu accéder aux informations privées en s’infiltrant sur le serveur. Le prestataire a immédiatement corrigé cette erreur.
Pas de panique, pour autant : « Les seules données réelles contenues dans cette base test étaient les noms, prénoms et codes postaux d’environs 300 000 clientes domiciliées au Canada. Cette base créée pour réaliser un test contient également environ 2,2 millions de données de clientes fictives , ce qui explique le chiffre annoncé de 2,5 millions de clientes concernées. Autre précision : aucune donnée bancaire, adresse postale et email, date de naissance ou numéro de téléphone n’a été rendue accessible », précise Yves Rocher, après une enquête approfondie sur l’incident.
Par ailleurs, les équipes de cybersécurité d’Yves Rocher n’ont constaté ni fuite ni activité malveillante pendant le court laps de temps pendant lequel cette base données était mal sécurisée. Aucune donnée n’a donc été piratée. Pour autant, la marque Yves Rocher a présenté « ses excuses les plus sincères à ses clientes concernées et met tout en œuvre pour qu’une telle erreur ne puisse plus se produire ».
Le RGPD
En Europe, un règlement établi par la Commission Européenne, en vigueur depuis mai 2018, permet assure une protection optimale des données personnelles des clients. Le RGPD (Règlement Général de la Protection des Données) s’applique donc à chaque entreprise enregistrant des données personnelles de résidents européens ou des organisateurs au sein de l’Union Européenne.
Toute société commerciale doit s’y soumettre sous peine d’une sanction financière équivalente à 4% du chiffre d’affaire mondial.