Cdiscount épinglé par la Cnil pour des manquements sur la sécurité des données

La Commission reproche à Cdiscount la conservation en base de données, de plusieurs milliers de compte d’anciens clients et prospects sans aucune suppression, ainsi que plus de 4 000 données bancaires associées à des cryptogrammes visuels non sécurisées. Pour Cdiscount, ce sont des pratiques isolées, mais qui restent toutefois inadmissibles.

Partager
Cdiscount épinglé par la Cnil pour des manquements sur la sécurité des données
Emmanuel Grenier, président de Cdiscount et directeur général de Cnova lors de l'inauguration de ses nouveaux entrepôts à Saint-Mard

La Commission nationale de l’Informatique et des Libertés a frappé un grand coup. Mercredi 19 octobre, la Cnil a prononcé un avertissement et une mise en demeure à l’adresse du géant français du e-commerce Cdiscount, en raison de « manquements graves portant notamment sur la sécurité des données ». La présidente de la Cnil demande notamment au e-marchand d'« engager un certain nombre de mesures correctives », sous un délai de trois mois renouvelable une fois, « afin de se conformer à la loi ». La Cnil a décidé de rendre publique cette démarche, notamment en raison de la quantité des manquements constatés, dix au total, mais aussi du volume potentiel de personnes concernées, sans toutefois en dire davantage sur ce dernier point. Au premier trimestre 2016, Cdiscount comptabilise une moyenne de 11,2 millions de visiteurs uniques par mois.

80 plaintes depuis 2015

Concrètement, la Commission reproche à Cdiscount la conservation en base de données, de plusieurs milliers de compte d’anciens clients et prospects sans aucune suppression ni limitation de durée, ainsi que plus de 4 000 données bancaires associées à des cryptogrammes visuels non sécurisée. « Depuis 2015, la CNIL a reçu 80 plaintes concernant la société Cdiscount relatives notamment à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés. Elle a ainsi procédé à plusieurs missions de contrôle, entre février et mars 2016, auprès de cette société », explique la Commission dans un communiqué.

Des dépôts de cookies sans finalité

Mais là n’est pas tout. La Cnil met en lumière d’autres manquements à la loi de la part de Cdiscount, comme « la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL, la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste… », l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société, l’absence d’information des utilisateurs du site quant au traitement de leurs données, l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique, le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans), et le défaut de politique de mots de passe suffisamment robustes ».

Pour Cdiscount, des pratiques isolées et « inadmissibles »

A la lumière de cette mise en demeure, et des reproches de la Cnil à son encontre, Cdiscount a immédiatement réagi par communiqué de presse, répondant en premier lieu aux accusations portant sur l’inscription dans les fichiers clients de numéros de carte bancaires ou de commentaires inadaptés. « Une enquête interne a montré que ces dysfonctionnements étaient limités à un seul centre d’appels auquel Cdiscount a retiré l’activité depuis plusieurs mois. Dans le même temps des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles », soulignant par ailleurs que la Cnil avait relevé les mesures correctrices déjà mises en place par Cdiscount.

Pour l’e-marchand, ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge « inadmissibles et comprend qu’elles aient pu choquer ». En outre, il fait valoir que des mesures visant à renforcer la complexité des mots de passe ont déjà été mises en œuvre, et cela, en mars dernier. « Cdiscount tient par ailleurs à souligner qu’aucune faille de sécurité n’a été relevée ».

Sujets associés

NEWSLETTER Quotidienne

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS

Tous les événements

Les formations LSA CONSO

Toutes les formations

LES SERVICES DE LSA CONSO

Trouvez les entreprises de la conso qui recrutent des talents

MICHAEL PAGE

Ingénieur Cloud Azure Citrix H/F

MICHAEL PAGE - 07/10/2022 - Free Lance - Puteaux

+ 550 offres d’emploi

Tout voir
Proposé par
LSA

Détectez vos opportunités d'affaires

93 - ST DENIS

Fourniture en mobilier de bureau.

DATE DE REPONSE 11/07/2022

+ de 10.000 avis par jour

Tout voir
Proposé par
Marchés Online

Les réseaux de Franchises à suivre

GRÜEZI-PHONE SOLUTIONS

GRÜEZI-PHONE SOLUTIONS

Réparer plutôt que jeter et prolonger la durée de vie de son appareil.

+ 2600 franchises référencées

Tout voir
Proposé par
Toute la Franchise

ARTICLES LES PLUS LUS