Cdiscount sanctionné par la Cnil pour des données bancaires non sécurisées

Écrit par C.H avec AFP
Publié le Mis à jour le
partager cet article :

La Commission nationale de l'informatique et des libertés (Cnil) a sanctionné la plateforme de commerce en ligne Cdiscount pour défaut de sécurité de données bancaires et l'a mise en demeure pour d'autres "manquements graves".

Société
De la vie quotidienne aux grands enjeux, découvrez les sujets qui font la société locale, comme la justice, l’éducation, la santé et la famille.
France Télévisions utilise votre adresse e-mail afin de vous envoyer la newsletter "Société". Vous pouvez vous désinscrire à tout moment via le lien en bas de cette newsletter. Notre politique de confidentialité

La Cnil a décidé "en raison de la gravité particulière des manquements constatés" d'engager une procédure de sanction contre la filiale de Casino sous la forme d'un "avertissement public", explique-t-elle dans un communiqué.


4 000 données bancaires non sécurisées


Cdiscount a conservé plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de façon non sécurisée. Ces informations issues de l'activité de vente par téléphone de Cdiscount étaient conservées en clair dans un champ commentaire de sa base de données, ce qui les rendait potentiellement accessibles à des prestataires externes, a constaté la Cnil à l'issue de plusieurs contrôles.
La société a aussi conservé plusieurs millions de comptes d'anciens clients pendant une durée excessive.
Ces deux manquements à la loi Informatique et Libertés ont débouché sur un avertissement, même si la société a depuis remédié à la situation.


Commentaires sur les clients


La Cnil a aussi mis en demeure Cdiscount de corriger une dizaine de manquements dans un délai de trois mois.
Les contrôles ont ainsi permis de révéler des pratiques de lutte contre la fraude à la carte bancaire non autorisées par la Cnil et la présence de commentaires non pertinents dans la base de données tels que: "client a une maladie cardiaque" ou "client raciste".
Des coordonnées bancaires de clients avaient été enregistrées lors d'appels téléphoniques reçus par la société et que Cdiscount avait conservé les données bancaires de ses clients, sans leur demander leur consentement.
Cdiscount a aussi été tancé pour le dépôt de cookies (fichiers enregistrant la navigation de l'internaute) pendant des durées excessives, pouvant aller jusqu'à 30 ans, et une politique de mots de passe pas assez robustes. 

La Cnil indique a reçu 80 plaintes depuis 2015 contre Cdiscount concernant des défaillances techniques qui ont entraîné la divulgation de données à des tiers non autorisés. Elle a effectué plusieurs missions de contrôle entre février et mars 2016. La société C Discount , qui appartient au groupe Casino et dont le siège social se trouve à Bordeaux, a réalisé un chiffre d'affaires de 2,7 milliards d'euros en 2015.





Tous les jours, recevez l’actualité de votre région par newsletter.
Tous les jours, recevez l’actualité de votre région par newsletter.
Veuillez choisir une région
France Télévisions utilise votre adresse e-mail pour vous envoyer la newsletter de votre région. Vous pouvez vous désabonner à tout moment via le lien en bas de ces newsletters. Notre politique de confidentialité

Pour aller plus loin

À lire également
Voir plus d'actualités
Je veux en savoir plus sur
le sujet
Veuillez choisir une région
en region
Veuillez choisir une région
sélectionner une région ou un sujet pour confirmer
Toute l'information