[Données] La CNIL met en demeure Cdiscount pour des « manquements graves »

Sur le web

Par Elodie le

La Commission nationale informatique et libertés (CNIL) a prononcé un avertissement public et mis en demeure le site de e-commerce Cdiscount après avoir constaté de graves manquements concernant le traitement des données collectées, dont un important défaut de sécurité.

cnil-demeure-cdisount

80 plaintes contre CDiscount en 2015

Alertée par les nombreuses plaintes enregistrées au cours de l’année 2015 (80 au total), la CNIL a procédé à des contrôles inopinés entre février et mars 2016. La commission a été confortée dans ses craintes puisqu’elle a débusqué de « graves » manquements.

Parmi les manquements les plus graves, la Commission a constaté :

• la conservation en base de données de plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée,

• la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels (les trois fameux chiffres présent au dos de la carte bleue NDLR), de manière non sécurisée.

La sanction ? Un avertissement public

Des faits qui ont incité la CNIL à lancer une procédure de sanction à l’encontre de Cdiscount. Outre le fait que le site de revente de bien entre particuliers a outrepassé ses droits dans la collecte et la conservation de données personnelles d’anciens clients et prospects, la Commission pointe du doigt un grave défaut de sécurité « ayant entraîné la divulgation de données à des tiers non autorisés ».

Cdiscount « n’a pas mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires » relève la Commission.

cnil-logo_rvb

La procédure de sanction s’est donc formalisée par… un avertissement public « justifiée en raison de la nature et du nombre de données en cause ». Selon la CNIL une telle publicité « permet aussi de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées ».

Une mise en demeure pour 10 autres manquements

On peut tout de même juger la sanction bien faible au regard des risques d’usurpation d’identité et d’atteinte à la vie privée encourus par les clients du site en cas de divulgation de leurs données personnelles.

La CNIL précise tout de même que « la société a mis en place des mesures correctives » concernant lesdits manquements.

Toutefois, d’autres manquements relevés par la CNIL attendent encore d’être corrigés, comme :

• la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL ;
• la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste… » ;
• l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société ;
• l’absence d’information des utilisateurs du site quant au traitement de leurs données ;
• l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique ;
• le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans) ;
• le défaut de politique de mots de passe suffisamment robustes.

cdiscount_logo

Une sanction dissuasive ?

Un florilège de manquements à la loi informatique et libertés qui a incité la CNIL à adresser une mise en demeure à Cdiscount. La société à trois mois, renouvelable une fois, pour se mettre en conformité avec la loi. Ce n’est qu’à l’issue de ce délai que la CNIL pourra enclencher une procédure de sanction. Mise en demeure également rendue publique « en raison de la quantité des manquements constatés (10 au total) et du volume potentiel de personnes concernées, le site internet « www.cdiscount.com » indiquant compter environ 2 millions de visiteurs et 85.000 ventes par jour ».

Des visiteurs et clients qui n’ont plus qu’à espérer que Cdiscount se mettent rapidement en conformité. Sinon…

Source: Source