Violation de données clients de Netshoes
Le géant brésilien du e-commerce Netshoes a exposé les données personnelles — noms, identifiants fiscaux CPF, e-mails et historiques d'achat — d'environ 2 millions de clients, suscitant l'une des premières actions répressives majeures du parquet brésilien à la suite d'une violation de données.
- Victime
- Netshoes
- Perte
- $135.0K
- données
- 2.0M
- utilisateurs
- 2.0M
En janvier 2018, le plus grand détaillant brésilien d'articles de sport en ligne, Netshoes, a été révélé comme ayant exposé les données personnelles d'environ 2 millions de clients — un cas précurseur emblématique de la répression brésilienne en matière de protection des données.
Ce qui s'est passé
La violation a fait surface lorsqu'un attaquant a proposé un échantillon d'enregistrements clients de Netshoes, porté à l'attention du parquet du District fédéral et des Territoires (MPDFT). Le 26 janvier 2018, le parquet a révélé publiquement qu'environ 2 millions de clients avaient vu leurs données exposées. Les enregistrements compromis comprenaient noms, identifiants fiscaux CPF, adresses e-mail, dates de naissance et historiques d'achat. Notamment, aucun numéro de carte bancaire ni mot de passe de compte n'a été signalé parmi les données divulguées.
Les enregistrements ont ensuite été catalogués par le service de notification de fuites Have I Been Pwned.
L'intervention du parquet
Le Brésil ne disposait alors d'aucune loi générale de protection des données — la LGPD ne serait promulguée que plus tard en 2018. Le MPDFT a néanmoins invoqué le droit de la consommation, recommandant formellement à Netshoes de contacter chaque client concerné et menaçant d'une action civile publique. Netshoes a d'abord résisté aux notifications individuelles, mais sous la pression elle a commencé à envoyer des e-mails aux utilisateurs concernés.
Règlement
Comme Netshoes a finalement coopéré à l'enquête, l'affaire a été réglée par un Terme d'ajustement de conduite (Termo de Ajustamento de Conduta, TAC) signé le 5 février 2019. Aux termes de l'accord, Netshoes a versé 500 000 BRL (environ 135 000 dollars) au titre du préjudice moral collectif et s'est engagée à améliorer sa sécurité et ses notifications. En cas de non-respect, l'accord exposait l'entreprise à une action collective d'environ 10 millions de BRL et à une demande complémentaire de 85 millions de BRL pour préjudice patrimonial.
Pourquoi c'est important
Le cas Netshoes est fréquemment cité comme une démonstration de faisabilité de la répression des violations de données au Brésil avant la LGPD. Il a montré que le MPDFT était prêt à utiliser les outils existants du droit de la consommation pour contraindre une entreprise à notifier les victimes et à verser des dommages-intérêts — établissant le droit à la notification individuelle comme une attente au Brésil. Lorsque la LGPD et l'ANPD sont entrées en vigueur, le précédent Netshoes a contribué à façonner la manière dont régulateurs et procureurs aborderaient la responsabilité des entreprises en cas de violation, en faisant un moment fondateur de l'histoire de la répression de la vie privée au Brésil, malgré une amende relativement modeste.
Chronologie
Un attaquant aurait accédé aux enregistrements clients de Netshoes et proposé un échantillon des données.
Le parquet du District fédéral (MPDFT) révèle la fuite d'environ 2 millions d'enregistrements clients et exige que Netshoes notifie les personnes concernées.
Netshoes commence à notifier par e-mail les clients concernés, à la demande insistante du parquet.
Netshoes signe un Terme d'ajustement de conduite (TAC) avec le MPDFT, acceptant de verser 500 000 BRL de dommages-intérêts.
Sources
- dataguidance.comhttps://www.dataguidance.com/news/brazil-mpdft-announces-netshoes-fined-brl-500000-over
- haveibeenpwned.comhttps://haveibeenpwned.com/Breach/Netshoes
- tiinside.com.brhttps://tiinside.com.br/en/26/01/2018/mpdft-pede-providencias-netshoes-apos-vazamento-de-2-milhoes-de-dados-de-clientes/
- en.wikipedia.orghttps://en.wikipedia.org/wiki/Netshoes