Accueil / Le Long Format / Research
Long Format

La violation de la boutique en ligne Lidl a commencé chez un prestataire informatique, pas dans les systèmes du distributeur

Lidl a informé les clients de sa boutique en ligne en Allemagne, en Belgique et aux Pays-Bas que leurs données avaient été volées lors d'une violation chez un prestataire informatique, et non dans ses propres systèmes. Noms, numéros de téléphone, adresses e-mail, dates de naissance et numéros de client ont été dérobés. En vertu du RGPD, le responsable de traitement reste responsable de la violation d'un sous-traitant.

La violation de la boutique en ligne Lidl a commencé chez un prestataire informatique, pas dans les systèmes du distributeur
TL;DR

Lidl a informé les clients de sa boutique en ligne en Allemagne, en Belgique et aux Pays-Bas que leurs données avaient été volées lors d'une violation chez un prestataire informatique, et non dans ses propres systèmes. Noms, numéros de téléphone, adresses e-mail, dates de naissance et numéros de client ont été dérobés. En vertu du RGPD, le responsable de traitement reste responsable de la violation d'un sous-traitant.

Lidl a informé les clients de sa boutique en ligne en Allemagne, en Belgique et aux Pays-Bas que leurs données personnelles avaient été volées lors d'une violation chez l'un de ses prestataires informatiques, et non dans ses propres systèmes. Le distributeur a commencé à envoyer des courriels aux clients concernés le 10 juillet 2026 et a confirmé l'incident dans des avis publiés sur ses sites d'assistance belge et néerlandais. Les noms, numéros de téléphone, adresses e-mail, dates de naissance et numéros de client ont été dérobés. La leçon : un distributeur reste responsable des données de ses clients, même lorsque le fichier ayant fuité se trouvait sur l'infrastructure d'un prestataire.

Violation de la boutique Lidl (juillet 2026) : la fuite vient d'un prestataire Les attaquants ont atteint un fichier de clients stocké séparément chez un prestataire informatique, pas le système de la boutique. Attaquant a brièvement accédé au fichier et en a volé une partie Prestataire informatique détenait un fichier stocké séparément de clients de la boutique Lidl Vol confirmé : nom, téléphone, e-mail date de naissance, numéro de client mots de passe / paiement : non exclus Exposition en aval Clients en Allemagne, Belgique, Pays-Bas (risque d'hameçonnage) Marque Lidl et confiance des clients Obligation RGPD (responsable de traitement) Un sous-traitant peut détenir vos données sans toucher vos systèmes centraux. Ce que Lidl a déclaré (juillet 2026) : système de la boutique non touché ; plainte déposée par le prestataire ; autorités de protection des données notifiées. Le risque tiers, en une ligne : Le responsable de traitement reste responsable des données clients même quand le fichier violé était chez un prestataire. Sources : avis clients Lidl, BleepingComputer, Help Net Security. Schéma de travail pour Breach Wire, Supplier Shield.

Ce qui s'est passé

Lidl, détenu par le groupe Schwarz, indique que des personnes inconnues ont brièvement accédé à un fichier de données de clients stocké séparément et en ont volé une partie, selon les avis rapportés par BleepingComputer et Help Net Security. L'entreprise précise que le système de la boutique en ligne lui-même n'a pas été touché. Les champs volés confirmés sont la civilité, le prénom et le nom, le numéro de téléphone, l'adresse e-mail, la date de naissance et le numéro de client. Lidl ajoute qu'elle ne peut pas encore exclure que des mots de passe, des adresses de facturation et de livraison, des coordonnées bancaires ou d'autres informations de paiement aient également été concernés, tout en indiquant que les comptes clients n'ont pas été touchés.

Le prestataire informatique victime de la violation a déposé une plainte et mandaté des enquêteurs en criminalistique numérique, selon la déclaration de Lidl. Lidl a informé les autorités de protection des données des pays concernés, dont l'Autorité néerlandaise de protection des données, et a invité les clients à se méfier des tentatives d'hameçonnage susceptibles d'utiliser les informations volées. Le prestataire n'a pas été nommé, et le nombre de clients concernés n'a pas été communiqué. L'ampleur au-delà des champs confirmés reste non confirmée.

Pourquoi cela compte pour le risque tiers

Le schéma en cause est celui de l'exposition via un sous-traitant. Un sous-traitant est un prestataire qui traite des données personnelles pour votre compte, par exemple une société qui héberge ou gère une partie d'une boutique en ligne. En vertu du Règlement général sur la protection des données (RGPD), l'entreprise qui décide des finalités et des moyens du traitement, le responsable de traitement, demeure responsable de ces données même lorsque c'est un sous-traitant qui détient le fichier ayant fuité. Les clients ont reçu un avis portant le nom de Lidl, pas celui du prestataire. Le fournisseur était le maillon faible, mais la responsabilité, l'obligation de notification et le coût réputationnel sont retombés sur la marque.

Ce que les équipes devraient en retenir

Deux enseignements. D'abord, cartographiez l'endroit où reposent réellement les données de vos clients, y compris les fichiers qu'un prestataire stocke séparément de votre plateforme principale. Une violation peut contourner un système central bien défendu et exposer tout de même vos clients si un sous-traitant en détient une copie. Ensuite, fixez le délai de notification des violations avec vos sous-traitants dans le contrat. Le RGPD accorde aux responsables de traitement 72 heures pour notifier une autorité de contrôle après en avoir pris connaissance. Si un sous-traitant tarde à vous informer, votre propre délai court déjà. Un interlocuteur désigné et une fenêtre de notification fixe transforment cette course contre la montre en procédure.

Pour cadrer cette responsabilité, il peut être utile de voir ce que le RGPD attend d'un responsable de traitement lorsqu'un sous-traitant est victime d'une violation.

FAQ

Le système de la boutique en ligne de Lidl a-t-il été violé ?

Lidl affirme que non. Elle déclare que le système de la boutique en ligne n'a pas été touché et que les données provenaient d'un fichier stocké séparément, détenu dans le cadre d'un prestataire informatique. Les comptes clients n'ont pas été touchés, selon l'entreprise.

Quelles données ont été volées ?

Confirmé : civilité, nom, numéro de téléphone, adresse e-mail, date de naissance et numéro de client. Lidl indique qu'elle ne peut pas encore exclure que des mots de passe, des adresses de facturation et de livraison, des coordonnées bancaires ou d'autres informations de paiement aient été concernés. Cette ampleur plus large reste non confirmée.

Pourquoi est-ce une affaire de RGPD et pas seulement un problème de fournisseur ?

En vertu du RGPD, le responsable de traitement reste responsable des données personnelles traitées par ses prestataires. Lidl porte l'obligation de notification et l'exposition réputationnelle, même si le système violé appartenait à un sous-traitant.

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

Lire ensuite

Zero-day SonicWall SMA 1000 activement exploités : l'équipement d'accès distant devenu la porte d'entrée

Zero-day SonicWall SMA 1000 activement exploités : l'équipement d'accès distant devenu la porte d'entrée

Le 14 juillet 2026, SonicWall a confirmé deux failles zero-day activement exploitées dans ses équipements d'accès distant Secure Mobile Access (SMA) série 1000 et publié un firmware corrigé. Le schéma est un risque de concentration en périphérie du réseau : une passerelle SSL VPN très répandue se place devant les systèmes internes, si bien que sa compromission atteint tous ceux qui se trouvent derrière elle, y compris les clients des prestataires gérés qui en exploitent une.

Lire l'article
Le propre paquet npm de Jscrambler a été détourné : un fournisseur de confiance devenu vecteur d'attaque

Le propre paquet npm de Jscrambler a été détourné : un fournisseur de confiance devenu vecteur d'attaque

Un attaquant a détourné le paquet npm de Jscrambler avec un identifiant de publication volé et diffusé un infostealer aux développeurs entre le 11 et le 13 juillet 2026. Le logiciel malveillant récoltait jetons cloud, portefeuilles et identifiants d'assistants IA sur toute machine l'ayant installé. Pour les équipes de risque tiers, la leçon est qu'une dépendance de confiance est un fournisseur, et que son canal de diffusion peut devenir la voie de l'attaque.

Lire l'article
Progress demande aux clients ShareFile de tout débrancher : la menace d'un fournisseur TIC devient l'interruption de service de tous

Progress demande aux clients ShareFile de tout débrancher : la menace d'un fournisseur TIC devient l'interruption de service de tous

Le 10 juillet 2026, Progress Software a demandé aux clients ShareFile exploitant des Storage Zone Controllers d'arrêter les serveurs Windows hôtes en raison d'une menace externe crédible. Aucun correctif, aucun CVE, et accès cloud coupé pour les comptes concernés. Le schéma est celui du risque de concentration : un fournisseur de partage de fichiers largement utilisé est un point d'exposition unique, et son urgence est héritée par tous en aval.

Lire l'article