Relais Colis corrige ses failles de sécurité (MAJ et droit de réponse)

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 10 janvier 2019 à 10h53
relais colis.jpg

Le réseau de livraison français Relais Colis a laissé fuiter les données personnelles de ses clients durant plusieurs mois.

Mise à jour du 10/01/2019 :

Titre original de l'article : Relais Colis expose les données personnelles de ses clients durant des mois.

La société Relais Colis SAS nous a contacté afin de demander correction des propos de cet article. En effet, la société déclare n'avoir subit aucune fuite de données mais des dysfonctionnements mineurs concernant des données non-sensibles.

Retrouvez l'intégralité de la déclaration de Relais Colis, dans son droit de réponse, en dessous de l'article.

Premier réseau de livraison de colis aux particuliers avec 39 millions de commandes livrées chaque année dans les quelque 5 600 relais de proximité situés en France et en Belgique, Relais Colis est un poids lourd de la distribution de colis. Pourtant, ce statut ne met pas la société à l'abri de dérives numériques comme la fuite de données personnelles, une situation qui l'a touchée durant plusieurs mois, ainsi que le révèle Zataz.

Des informations accessibles via un espace non-sécurisé

Le site spécialisé en sécurité informatique et en cybersécurité explique que via un espace web non sécurisé (qui ne demandait donc ni mot de passe, ni identification, et qui peut fonctionner avec ou sans HTTPS), il a été possible d'accéder à de nombreuses informations personnelles de clients du réseau de livraison.

Si, selon Relais Colis, la fuite n'est plus d'actualité, celle-ci permettait, en cliquant sur un lien rattaché à un courrier électronique, de faire apparaître un menu. À partir de là, il était possible, en cliquant sur une date de commande, d'obtenir le bilan, l'identité des clients, le numéro de la commande, la date de gestion ainsi que l'adresse électronique de la boutique censée être destinataire du colis.

La CNIL a été informée de la fuite

Fort heureusement, les données bancaires n'ont pas fuité. Mais les données personnelles révélées étaient déjà largement suffisantes pour pouvoir intercepter le paquet.

Comme l'indique Zataz, la page liée aux données personnelles a été mise en place avant le RGPD du 25 mai 2018. Cela n'empêchera pas la CNIL, qui a été saisie, de se pencher sur le dossier, surtout si la fuite a pu persister au-delà de l'entrée en vigueur du règlement.

Déclaration de la société Relais Colis SAS suite à l'article ci-dessus :
Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD).
De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.
A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C'est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.

Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.

Concernant les deux dysfonctionnements remontés :
• Sur le http au lieu de https : suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème.
• Sur le suivi de colis : ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d'ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n'ont une durée de vie que très courtes et ne concernent que les expéditions qui n'ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n'apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.

Nous souhaitons donc rassurer sur le fait qu'il n'y a pas eu de fuites de données personnelles.

Sur notre site « www.relaiscolis.com », nous avons fait le nécessaire pour que chaque utilisateur puisse nous contacter concernant toute question relative au RGPD, via le lien qui se trouve dans l'onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ».

L'utilisateur peut directement adresser sa requête à : [email protected].
Sachez que nous n'avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l'adresse mail « [email protected] » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles.

Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs.

Alexandre Boero
Journaliste-reporter, responsable de l'actu
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
manu0086

Hummm, ce sont les données de quels clients exactement? ceux du même point relais? ceux du client de la commande? tous les clients du jour partout en france? (ça doit afficher une liste monstrueuse)

Biggs

Franchement à l’avenir, ça devient plus rapide de lister les organismes qui n’ont PAS laissé fuiter les données personnelles de leurs clients plutôt que l’inverse.

twist_54

Oui par définition nous sommes des sacs à merde puisqu’en digestion permanente.
Blague mise à part, entre des millions de Français qui se déplacent en voiture et quelques milliers de livreurs… je mise sur les livreurs qui vont livrer une référence de produit qui me correspond et que je ne trouverai pas en boutique, même en faisant 10 avec mon vieux diesel à filtre à particule de 2008.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles