Protection des données : Cdiscount épinglé par la Cnil
Publié le 20 octobre 2016 à 11:03 Aujourd'hui
La Commission nationale de l’informatique et des libertés (Cnil) a sanctionné mercredi le site d’e-commerce Cdiscount pour défaut de sécurité des données bancaires, et l’a mis en demeure pour de nombreux autres manquements.
« Depuis 2015, la Cnil a reçu 80 plaintes concernant la société Cdiscount relatives notamment à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés », a annoncé mercredi 19 octobre la Commission nationale de l’informatique et des libertés dans un communiqué. Après avoir effectué plusieurs missions de contrôle, entre février et mars 2016, le gendarme du net a constaté des manquements graves portant notamment sur la sécurité des données.
4 000 données bancaires conservées de manière non sécurisée
Cdiscount, propriété du groupe Casino, aurait conservé « plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée », mais aussi « plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée », précise la Cnil qui a prononcé un avertissement public à l’encontre de Cdiscount. La société a depuis corrigé ces manquements, mais la Cnil explique que « cette sanction publique est néanmoins justifiée en raison de la nature et du nombre de données en cause ».
Enregistrement des coordonnées bancaires
Par ailleurs, la Commission a mis en demeure le site français pour d’autres manquements à la loi comme la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la Cnil, ce qui est obligatoire, l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société ou encore, le défaut de politique de mots de passe suffisamment robustes. Plus grave encore, Cdiscount aurait aussi intégré dans sa base de données des commentaires tels que « client a une maladie cardiaque » ou « client raciste ». Le site a trois mois pour se conformer à la loi. Un délai qui peut être renouvelé qu’une seule fois.
Cdiscount, qui avait déjà écopé en 2009 une amende de 30 000 euros de la part de la Cnil pour abus dans ses emails publicitaires, a indiqué dans un communiqué qu’une enquête interne a « montré que ces dysfonctionnements étaient limités à un seul centre d’appels auquel Cdiscount a retiré l’activité depuis plusieurs mois. Dans le même temps, des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles », affirme la société. Et ajoute : « Ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge inadmissibles et comprend qu’elles aient pu choquer ».
Le site souligne également qu’« aucune faille de sécurité n’a été relevée » concernant les mots de passe des clients, et que le renforcement de leur complexité, demandé par la Cnil, « est effectif depuis mars dernier ».
