Le réseau de livraison français Relais Colis a laissé fuiter les données personnelles de ses clients durant plusieurs mois.
Mise à jour du 10/01/2019 :
Titre original de l'article : Relais Colis expose les données personnelles de ses clients durant des mois.
La société Relais Colis SAS nous a contacté afin de demander correction des propos de cet article. En effet, la société déclare n'avoir subit aucune fuite de données mais des dysfonctionnements mineurs concernant des données non-sensibles.
Retrouvez l'intégralité de la déclaration de Relais Colis, dans son droit de réponse, en dessous de l'article.
Titre original de l'article : Relais Colis expose les données personnelles de ses clients durant des mois.
La société Relais Colis SAS nous a contacté afin de demander correction des propos de cet article. En effet, la société déclare n'avoir subit aucune fuite de données mais des dysfonctionnements mineurs concernant des données non-sensibles.
Retrouvez l'intégralité de la déclaration de Relais Colis, dans son droit de réponse, en dessous de l'article.
Premier réseau de livraison de colis aux particuliers avec 39 millions de commandes livrées chaque année dans les quelque 5 600 relais de proximité situés en France et en Belgique, Relais Colis est un poids lourd de la distribution de colis. Pourtant, ce statut ne met pas la société à l'abri de dérives numériques comme la fuite de données personnelles, une situation qui l'a touchée durant plusieurs mois, ainsi que le révèle Zataz.
Des informations accessibles via un espace non-sécurisé
Le site spécialisé en sécurité informatique et en cybersécurité explique que via un espace web non sécurisé (qui ne demandait donc ni mot de passe, ni identification, et qui peut fonctionner avec ou sans HTTPS), il a été possible d'accéder à de nombreuses informations personnelles de clients du réseau de livraison.Si, selon Relais Colis, la fuite n'est plus d'actualité, celle-ci permettait, en cliquant sur un lien rattaché à un courrier électronique, de faire apparaître un menu. À partir de là, il était possible, en cliquant sur une date de commande, d'obtenir le bilan, l'identité des clients, le numéro de la commande, la date de gestion ainsi que l'adresse électronique de la boutique censée être destinataire du colis.
La CNIL a été informée de la fuite
Fort heureusement, les données bancaires n'ont pas fuité. Mais les données personnelles révélées étaient déjà largement suffisantes pour pouvoir intercepter le paquet.Comme l'indique Zataz, la page liée aux données personnelles a été mise en place avant le RGPD du 25 mai 2018. Cela n'empêchera pas la CNIL, qui a été saisie, de se pencher sur le dossier, surtout si la fuite a pu persister au-delà de l'entrée en vigueur du règlement.
Déclaration de la société Relais Colis SAS suite à l'article ci-dessus :
Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD).
De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.
A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C'est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.
Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.
Concernant les deux dysfonctionnements remontés :
• Sur le http au lieu de https : suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème.
• Sur le suivi de colis : ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d'ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n'ont une durée de vie que très courtes et ne concernent que les expéditions qui n'ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n'apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.
Nous souhaitons donc rassurer sur le fait qu'il n'y a pas eu de fuites de données personnelles.
Sur notre site « www.relaiscolis.com », nous avons fait le nécessaire pour que chaque utilisateur puisse nous contacter concernant toute question relative au RGPD, via le lien qui se trouve dans l'onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ».
L'utilisateur peut directement adresser sa requête à : [email protected].
Sachez que nous n'avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l'adresse mail « [email protected] » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles.
Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs.
Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD).
De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.
A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C'est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.
Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.
Concernant les deux dysfonctionnements remontés :
• Sur le http au lieu de https : suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème.
• Sur le suivi de colis : ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d'ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n'ont une durée de vie que très courtes et ne concernent que les expéditions qui n'ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n'apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.
Nous souhaitons donc rassurer sur le fait qu'il n'y a pas eu de fuites de données personnelles.
Sur notre site « www.relaiscolis.com », nous avons fait le nécessaire pour que chaque utilisateur puisse nous contacter concernant toute question relative au RGPD, via le lien qui se trouve dans l'onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ».
L'utilisateur peut directement adresser sa requête à : [email protected].
Sachez que nous n'avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l'adresse mail « [email protected] » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles.
Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs.
