Les clients de McDonald’s ont reçu un e-mail ce dimanche (17) les avertissant que certaines de leurs données pourraient avoir été exposées. La liste comprend le nom, l’état civil, l’adresse, l’e-mail, le CPF et le numéro de téléphone.
Restaurant McDonald’s (Image : Visual Karsa/Unsplash)
Selon le message, la vulnérabilité s’est produite parce que l’un des fournisseurs de services de McDonald’s « a subi un incident qui a permis un accès non autorisé aux données personnelles de certains de nos clients ».
L’entreprise précise que les données sensibles n’ont pas été exposées. Selon la loi générale sur la protection des données personnelles (LGPD), cette classification est attribuée à ceux qui révèlent des informations raciales, ethniques, religieuses, philosophiques, politiques, génétiques, biométriques, de santé ou de vie sexuelle.
McDonald’s a rendu vos e-mails SAC disponibles ([email protected]) et un secteur dédié au LGPD ([email protected]) pour toute personne dans le doute.
Au le bureau de presse de McDonald’s a envoyé la déclaration suivante :
Arcos Dorados, la société qui exploite les restaurants McDonald’s en Amérique latine et dans les Caraïbes, précise qu’un de nos fournisseurs de services a subi un incident, qui a permis un accès non autorisé aux données personnelles non sensibles de certains clients du réseau au Brésil. Lorsque nous prenons connaissance de ce qui s’est passé, nous prenons les mesures appropriées et communiquons à l’Autorité nationale de protection des données (ANDP) et aux clients éventuellement concernés. Arcos Dorados répudie cette activité criminelle et travaille en permanence pour renforcer les mesures de protection des données personnelles de ses clients. Nous regrettons la situation et fournissons des canaux de communication pour clarifier les doutes des consommateurs.
Ce n’est pas le premier incident de sécurité impliquant McDonald’s qui a été signalé. En 2019, le site Le piratage a révélé qu’un fournisseur de services avait exposé plus de 2,3 millions d’enregistrements sensibles de chaînes de restaurants, avec plus d’un million d’informations personnelles d’employés.
Le RGPD oblige l’entreprise à avertir les clients
Comme l’explique Adriano Mendes, avocat spécialisé en droit du numérique, la déclaration de McDonald’s fait partie des procédures prévues par la LGPD.
« L’article 48 détermine que l’entreprise qui détient la base de données est tenue d’informer l’ANPD et le titulaire chaque fois qu’un incident de sécurité de l’information comporte un risque pour elle. Ce que McDonald’s a fait n’est rien de plus que de respecter la loi : il a identifié un incident et le signale. »
Mendes recommande aux clients qui ont reçu l’e-mail d’être un peu plus vigilants que d’habitude concernant les messages promotionnels et de campagne, les appels téléphoniques et l’utilisation de la carte de crédit.
L’avocat souligne que ces données ont probablement été divulguées lors d’incidents précédents impliquant d’autres bases, il n’y a donc pas beaucoup de nouvelles pour les criminels.
Il est également difficile d’obtenir une indemnisation dans de tels cas, explique-t-il. « La compréhension de la justice a été qu’une indemnisation ne devrait être versée que s’il est possible de prouver le préjudice subi et le lien avec la fuite. »
L’avocat rappelle que la LGPD suit le principe du minimum nécessaire : collecter le moins d’informations possible pour fournir un service.
« Toutes ces données étaient-elles nécessaires pour McDonald’s ? Nom, adresse, téléphone, CPF, e-mail et adresse sont nécessaires pour effectuer une livraison. Et l’état civil ? Était-ce nécessaire ? », commente l’avocat. « L’entreprise a peut-être glissé ici, et l’ANPD peut le comprendre comme une collecte excessive. Cela peut être un facteur aggravant. »
L’enquête de l’ANPD déterminera la responsabilité de McDonald’s dans l’épisode. Mendes commente que la question est de savoir si les bonnes mesures de précaution ont été prises pour éviter de tels incidents ou si l’entreprise aurait pu faire autre chose.
