Euro Disney en infraction avec la loi Informatique et libertés

Publié le par BAPST

Par Christophe Guillemin
ZDNet France
Lundi 4 juillet 2005
Sécurité - Pendant trois ans, les données privées de milliers de clients d'Euro Disney ont été accessibles, via un simple navigateur, depuis le site de Disneyland Paris. Une faille de sécurité confirmée et corrigée récemment par la société.

Euro Disney a fait preuve de légèreté avec ses clients. Pendant plus de trois ans, plusieurs dizaines de milliers de noms, adresses, numéros de téléphone et e-mails sont restés facilement accessibles sur un serveur du site internet de Disneyland Paris.

La base de données non protégée recensait les coordonnées de personnes inscrites à un jeu concours lors de l'ouverture du second parc, a confirmé jeudi à l'AFP le porte-parole d'Euro Disney.

L'affaire a été révélée le 6 juin 2005 par le journal spécialisé Zataz, puis reprise par la section syndicale de la CFDT d'Euro Disney. «La CFDT a mené l'enquête et confirme en tous points les affirmations précédemment avancées», indique le syndicat.

«En effet, nous avons eu accès par l'intermédiaire de liens provenant du site Disneyland Resort Paris à des dizaines de milliers de lignes de données contenant sexe, adresses, e-mails, noms, prénoms, stockées sur des fichiers Excel.»

Dans une lettre adressée le 27 juin à Karl Holz, P-DG d'Euro Disney, la CFDT précise que les liens vers ces fichiers étaient accessibles via un simple navigateur et répertoriés dans des moteurs de recherche. Les personnes concernées étaient les «victimes potentielles de pirates, spammeurs et autres e-escrocs», estime l'ogranisation.

Deux jours plus tard, un porte-parole du groupe assurait que la faille avait été résorbée, se réjouissant qu'«il n'y avait heureusement aucune information bancaire».

Aucune plainte contre Disney n'a été déposée. Rappelons que selon l'article 226-17 du code pénal, se réfèrant à la loi Informatique et libertés de 1978, le responsable légal d'une société qui traite des données à caractère personnel, sans mettre en œuvre les mesures pour les protéger, encourt cinq ans d'emprisonnement et 300.000 euros d'amende, comme le rappelle la Cnil (Commission nationale informatique et liberté).

Publié dans Revue de Presse Europe

Commenter cet article