Cdiscount épinglé par la Cnil pour des manquements sur la sécurité des données

La Commission nationale de l’Informatique et des Libertés a frappé un grand coup. Mercredi 19 octobre, la Cnil a prononcé un avertissement et une mise en demeure à l’adresse du géant français du e-commerce Cdiscount, en raison de « manquements graves portant notamment sur la sécurité des données ». La présidente de la Cnil demande notamment au e-marchand d'« engager un certain nombre de mesures correctives », sous un délai de trois mois renouvelable une fois, « afin de se conformer à la loi ». La Cnil a décidé de rendre publique cette démarche, notamment en raison de la quantité des manquements constatés, dix au total, mais aussi du volume potentiel de personnes concernées, sans toutefois en dire davantage sur ce dernier point. Au premier trimestre 2016, Cdiscount comptabilise une moyenne de 11,2 millions de visiteurs uniques par mois.

80 plaintes depuis 2015

Concrètement, la Commission reproche à Cdiscount la conservation en base de données, de plusieurs milliers de compte d’anciens clients et prospects sans aucune suppression ni limitation de durée, ainsi que plus de 4 000 données bancaires associées à des cryptogrammes visuels non sécurisée. « Depuis 2015, la CNIL a reçu 80 plaintes concernant la société Cdiscount relatives notamment à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés. Elle a ainsi procédé à plusieurs missions de contrôle, entre février et mars 2016, auprès de cette société », explique la Commission dans un communiqué.

Des dépôts de cookies sans finalité

Mais là n’est pas tout. La Cnil met en lumière d’autres manquements à la loi de la part de Cdiscount, comme « la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL, la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste… », l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société, l’absence d’information des utilisateurs du site quant au traitement de leurs données, l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique, le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans), et le défaut de politique de mots de passe suffisamment robustes ».

Pour Cdiscount, des pratiques isolées et « inadmissibles »

A la lumière de cette mise en demeure, et des reproches de la Cnil à son encontre, Cdiscount a immédiatement réagi par communiqué de presse, répondant en premier lieu aux accusations portant sur l’inscription dans les fichiers clients de numéros de carte bancaires ou de commentaires inadaptés. « Une enquête interne a montré que ces dysfonctionnements étaient limités à un seul centre d’appels auquel Cdiscount a retiré l’activité depuis plusieurs mois. Dans le même temps des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles », soulignant par ailleurs que la Cnil avait relevé les mesures correctrices déjà mises en place par Cdiscount.

Pour l’e-marchand, ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge « inadmissibles et comprend qu’elles aient pu choquer ». En outre, il fait valoir que des mesures visant à renforcer la complexité des mots de passe ont déjà été mises en œuvre, et cela, en mars dernier. « Cdiscount tient par ailleurs à souligner qu’aucune faille de sécurité n’a été relevée ».

Sélectionné pour vous

Mode, maison, high-tech… Qui sont les enseignes préférées des Français à la rentrée 2023 ? [Etude]

Marketing : Dataïads lève 5 millions d’€ auprès de Spring Invest et d’investisseurs privés

La licorne tricolore Contentsquare vient de boucler la plus grosse acquisition de son histoire