Cdiscount sanctionné par la Cnil pour des données bancaires non sécurisées

 |   |  357  mots
Cdiscount a conservé plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de façon non sécurisée.
Cdiscount a conservé plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de façon non sécurisée. (Crédits : © Charles Platiau / Reuters)
Plusieurs manquements on été observés, dont des commentaires sur le clients ainsi que des données conservées au-delà de la période légale, alors que 80 personnes ont porté plainte depuis 2015.

La Commission nationale de l'informatique et des libertés (Cnil) a sanctionné mercredi la plateforme de commerce en ligne Cdiscount "en raison de la gravité particulière des manquements constatés" et a décidé d'engager une procédure de sanction contre la filiale de Casino sous la forme d'un "avertissement public", explique-t-elle dans un communiqué.

Mais de quels manquements s'agit-il? Dans un premier temps, Cdiscount a conservé plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de façon non sécurisée. Ces informations issues de l'activité de vente par téléphone de Cdiscount étaient conservées en clair dans un champ commentaire de sa base de données, ce qui les rendait potentiellement accessibles à des prestataires externes, a constaté la Cnil à l'issue de plusieurs contrôles. La société a aussi conservé plusieurs millions de comptes d'anciens clients et prospects pendant une durée excessive.

Commentaires sur les clients

La Cnil a aussi mis en demeure Cdiscount de corriger une dizaine de manquements dans un délai de trois mois. Les contrôles ont ainsi permis de révéler des pratiques de lutte contre la fraude à la carte bancaire non autorisées par la Cnil et la présence de commentaires non pertinents dans la base de données tels que : "client a une maladie cardiaque, client raciste" etc...

La Commission a aussi noté que des coordonnées bancaires de clients avaient été enregistrées lors d'appels téléphoniques reçus par la société et que Cdiscount avait conservé les données bancaires de ses clients, sans leur demander leur consentement.

80 plaintes en un an

Enfin la Cnil a tancé Cdiscount pour le dépôt de cookies (fichiers enregistrant la navigation de l'internaute) pendant des durées excessives, pouvant aller jusqu'à 30 ans, et une politique de mots de passe pas assez robustes.

La Cnil indique avoir reçu 80 plaintes depuis 2015 contre Cdiscount concernant des défaillances techniques qui ont entraîné la divulgation de données à des tiers non autorisés. Elle a effectué plusieurs missions de contrôle entre février et mars 2016.

(Avec AFP)

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :