Passer au contenu

[Données] La CNIL met en demeure Cdiscount pour des « manquements graves »

La Commission nationale informatique et libertés (CNIL) a prononcé un avertissement public et mis en demeure le site de e-commerce Cdiscount après avoir constaté de graves manquements concernant le traitement des données collectées, dont un important défaut de sécurité.

cnil-demeure-cdisount

80 plaintes contre CDiscount en 2015

Alertée par les nombreuses plaintes enregistrées au cours de l’année 2015 (80 au total), la CNIL a procédé à des contrôles inopinés entre février et mars 2016. La commission a été confortée dans ses craintes puisqu’elle a débusqué de « graves » manquements.

Parmi les manquements les plus graves, la Commission a constaté :

• la conservation en base de données de plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée,

• la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels (les trois fameux chiffres présent au dos de la carte bleue NDLR), de manière non sécurisée.

La sanction ? Un avertissement public

Des faits qui ont incité la CNIL à lancer une procédure de sanction à l’encontre de Cdiscount. Outre le fait que le site de revente de bien entre particuliers a outrepassé ses droits dans la collecte et la conservation de données personnelles d’anciens clients et prospects, la Commission pointe du doigt un grave défaut de sécurité « ayant entraîné la divulgation de données à des tiers non autorisés ».

Cdiscount « n’a pas mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires » relève la Commission.

cnil-logo_rvb

La procédure de sanction s’est donc formalisée par… un avertissement public « justifiée en raison de la nature et du nombre de données en cause ». Selon la CNIL une telle publicité « permet aussi de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées ».

Une mise en demeure pour 10 autres manquements

On peut tout de même juger la sanction bien faible au regard des risques d’usurpation d’identité et d’atteinte à la vie privée encourus par les clients du site en cas de divulgation de leurs données personnelles.

La CNIL précise tout de même que « la société a mis en place des mesures correctives » concernant lesdits manquements.

Toutefois, d’autres manquements relevés par la CNIL attendent encore d’être corrigés, comme :

• la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL ;
• la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste… » ;
• l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société ;
• l’absence d’information des utilisateurs du site quant au traitement de leurs données ;
• l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique ;
• le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans) ;
• le défaut de politique de mots de passe suffisamment robustes.

cdiscount_logo

Une sanction dissuasive ?

Un florilège de manquements à la loi informatique et libertés qui a incité la CNIL à adresser une mise en demeure à Cdiscount. La société à trois mois, renouvelable une fois, pour se mettre en conformité avec la loi. Ce n’est qu’à l’issue de ce délai que la CNIL pourra enclencher une procédure de sanction. Mise en demeure également rendue publique « en raison de la quantité des manquements constatés (10 au total) et du volume potentiel de personnes concernées, le site internet « www.cdiscount.com » indiquant compter environ 2 millions de visiteurs et 85.000 ventes par jour ».

Des visiteurs et clients qui n’ont plus qu’à espérer que Cdiscount se mettent rapidement en conformité. Sinon…

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

8 commentaires
  1. Si seulement il n y avait que cela….
    Vendeur sur cdiscount depuis plusieurs années, je vous assure qu il y a beaucoup plus de choses à y trouver. Coté client, et vendeur.

  2. Mouais, c’est pas comme si on avait 2 inconnues là. Cdiscount qui est connu depuis toujours pour sa politique de merde et la CNIL qui est connue depuis toujours pour son inefficacité légendaire…
    Et le spam téléphonique suite à une commande chez eux, on en parle pas ??? (merci à “dois-je répondre” au passage)

      1. Pas le mien. Pour l’avoir vu évoluer au fils des années, je reste persuadé qu’il s’agit d’une vaste fumisterie. Le rapport résultats/budget est totalement irréaliste.
        L’idée de base est excellente et Il est indéniable qu’il faille une institution pour gérer nos droits numériques mais une institution gérée par des gens compétents et honnêtes. Sans compter qu’il faille aussi lui donner les pouvoirs nécessaires pour accomplir son travail et ne pas lui demander de fermer sa gueule sur certains dossiers trop sensibles…
        Depuis sa création et jusqu’à aujourd’hui, je n’ai pas l’impression de la cnil rentre dans ses critères. C’est juste un max de pognon dépensé pour de l’esbroufe…

  3. Les points évoqués datent de 2015 et sont depuis corrigés.

    Il n’est pas précisé dans l’article que les manquements à la sécurité des données personnelles des clients ont été réalisés par un seul et unique centre d’appel qui ne respectaient pas les règles de Cdiscount, et qui a été fermé depuis.

    @chmick:disqus “il dit qu’il voit pas l’rapport”…

Les commentaires sont fermés.

Mode