Cdiscount épinglé par la Cnil pour des manquements sur la sécurité des données

|
Twitter Facebook Linkedin Google + Email Imprimer

La Commission reproche à Cdiscount la conservation en base de données, de plusieurs milliers de compte d’anciens clients et prospects sans aucune suppression, ainsi que plus de 4 000 données bancaires associées à des cryptogrammes visuels non sécurisées. Pour Cdiscount, ce sont des pratiques isolées, mais qui restent toutefois inadmissibles.

Emmanuel Grenier, président de Cdiscount et directeur général de Cnova lors de l'inauguration de ses nouveaux entrepôts à Saint-Mard
Emmanuel Grenier, président de Cdiscount et directeur général de Cnova lors de l'inauguration de ses nouveaux entrepôts à Saint-Mard

La Commission nationale de l’Informatique et des Libertés a frappé un grand coup. Mercredi 19 octobre, la Cnil a prononcé un avertissement et une mise en demeure à l’adresse du géant français du e-commerce Cdiscount, en raison de « manquements graves portant notamment sur la sécurité des données ». La présidente de la Cnil demande notamment au e-marchand d'« engager un certain nombre de mesures correctives », sous un délai de trois mois renouvelable une fois, « afin de se conformer à la loi ». La Cnil a décidé de rendre publique cette démarche, notamment en raison de la quantité des manquements constatés, dix au total, mais aussi du volume potentiel de personnes concernées, sans toutefois en dire davantage sur ce dernier point. Au premier trimestre 2016, Cdiscount comptabilise une moyenne de 11,2 millions de visiteurs uniques par mois.

80 plaintes depuis 2015

Concrètement, la Commission reproche à Cdiscount la conservation en base de données, de plusieurs milliers de compte d’anciens clients et prospects sans aucune suppression ni limitation de durée, ainsi que plus de 4 000 données bancaires associées à des cryptogrammes visuels non sécurisée. « Depuis 2015, la CNIL a reçu 80 plaintes concernant la société Cdiscount relatives notamment à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés. Elle a ainsi procédé à plusieurs missions de contrôle, entre février et mars 2016, auprès de cette société », explique la Commission dans un communiqué.

Des dépôts de cookies sans finalité

Mais là n’est pas tout. La Cnil met en lumière d’autres manquements à la loi de la part de Cdiscount, comme « la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL, la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste… », l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société, l’absence d’information des utilisateurs du site quant au traitement de leurs données, l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique, le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans), et le défaut de politique de mots de passe suffisamment robustes ».

Pour Cdiscount, des pratiques isolées et « inadmissibles »

A la lumière de cette mise en demeure, et des reproches de la Cnil à son encontre, Cdiscount a immédiatement réagi par communiqué de presse, répondant en premier lieu aux accusations portant sur l’inscription dans les fichiers clients de numéros de carte bancaires ou de commentaires inadaptés. « Une enquête interne a montré que ces dysfonctionnements étaient limités à un seul centre d’appels auquel Cdiscount a retiré l’activité depuis plusieurs mois. Dans le même temps des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles », soulignant par ailleurs que la Cnil avait relevé les mesures correctrices déjà mises en place par Cdiscount.  

Pour l’e-marchand, ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge « inadmissibles et comprend qu’elles aient pu choquer ». En outre, il fait valoir que des mesures visant à renforcer la complexité des mots de passe ont déjà été mises en œuvre, et cela, en mars dernier. « Cdiscount tient par ailleurs à souligner qu’aucune faille de sécurité n’a été relevée ».

Réagir

Pseudo obligatoire

Email obligatoire

Email incorrect

Commentaire obligatoire

Captcha obligatoire

Les cookies assurent le bon fonctionnnement de nos sites et services. En utilisant ces derniers, vous acceptez l’utilisation des cookies.

OK

En savoir plus
 
Suivre LSA Suivre LSA sur facebook Suivre LSA sur Linked In Suivre LSA sur twitter RSS LSA