Cdiscount épinglé par la CNIL
Publié par Dalila Bouaziz le | Mis à jour le
La CNIL a prononcé mercredi 18 octobre un avertissement public à l'encontre de la société Cdiscount en raison de "manquements graves portant notamment sur la sécurité des données". La présidente de la CNIL a mis en demeure la société pour de nombreux autres manquements constatés lors de contrôles.
La CNIL a prononcé mercredi 18 octobre un avertissement public à l'encontre de la société Cdiscount en raison de "manquements graves portant notamment sur la sécurité des données". La présidente de la CNIL a mis en demeure la société pour de nombreux autres manquements constatés lors de contrôles.
Depuis 2015, la CNIL a reçu 80 plaintes concernant Cdiscount relatives notamment à des "défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés". Elle a ainsi procédé à plusieurs missions de contrôle, entre février et mars 2016. Ces contrôles avaient pour objet de vérifier la conformité des traitements mis en oeuvre par la société aux dispositions de la loi Informatique et Libertés, en particulier ceux relatifs aux données des clients et des prospects.
"L'existence de multiples manquements constatés a conduit la présidente de la CNIL à engager simultanément deux procédures : une procédure de sanction avec la désignation d'un rapporteur et une procédure de mise en demeure", indique la Commission nationale de l'informatique et des libertés. La procédure de sanction : un avertissement public pour, notamment, défaut de sécurité. "Les contrôles ont notamment permis de constater des manquements suivants : la conservation en base de données de plusieurs millions de comptes d'anciens clients et prospects, sans aucune suppression ni limitation de durée et la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée. En raison de la particulière gravité des manquements constatés, la Présidente a décidé d'engager une procédure de sanction en désignant un rapporteur", explique la CNIL.
En charge de statuer sur ces manquements, la CNIL a relevé que la société n'a pas mis en oeuvre "de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires et a conservé les données de ses anciens clients et prospects pendant une durée excessive".
Mise en demeure dans un délai de trois mois
Si depuis, Cdiscount a mis en place des mesures correctives, la CNIL juge cette sanction publique néanmoins justifiée en raison de la nature et du nombre de données en cause.
Les contrôles ont révélé d'autres manquements à la loi tels que la mise en oeuvre d'un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL ; la présence de commentaires non pertinents dans sa base de données, tels que "client a une maladie cardiaque, client raciste..."; l'enregistrement des coordonnées bancaires de clients lors d'appels reçus par la société ; l'absence d'information des utilisateurs du site quant au traitement de leurs données ; l'absence de consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospection commerciale électronique ; le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans) et le défaut de politique de mots de passe suffisamment robustes. La CNIL a estimé qu'un certain nombre de mesures correctives devraient être engagées par la société. Elle lui a donc adressé une mise en demeure de se conformer à la loi, dans un délai de trois mois, renouvelable une fois.
La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Cdiscount a réagi en affirmant son engagement en matière de confidentialité et de protection des données personnelles de ses clients. "La CNIL a initié un contrôle en début d'année 2016 et a relevé certaines anomalies. Il s'agissait notamment de l'inscription dans les fichiers clients de numéros de cartes bancaires ou de commentaires inadaptés. Une enquête interne a montré que ces dysfonctionnements étaient limités à un seul centre d'appels auquel Cdiscount a retiré l'activité depuis plusieurs mois. Dans le même temps des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles. Dans son communiqué, la CNIL relève d'ailleurs que Cdiscount a déjà mis en place des mesures correctrices. Ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge inadmissibles et comprend qu'elles aient pu choquer. La CNIL a également demandé de renforcer la complexité les mots de passe choisis par les clients ce qui est effectif depuis mars dernier. Cdiscount tient par ailleurs à souligner qu'aucune faille de sécurité n'a été relevée. La confidentialité ainsi que le respect de ses clients, et notamment la protection de leurs données personnelles, est au coeur des préoccupations de Cdiscount qui met tout en oeuvre pour les garantir."
Mise à jour jeudi 4 mai 2017 :
Cdiscount s'est depuis mis en conformité, la mise en demeure a été clôturée, après la mise en place d'un système de détection automatique des commentaires excessifs et le renforcement de la sécurité liée à l'enregistrement des coordonnées bancaires dans sa base de données ; l'intégration de cases à cocher sur le site Internet afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospection commerciale électronique; l'amélioration de l'information des personnes concernant la collecte de leurs données personnelles; la défintion des durées de conservation proportionnées des données ; le renforcement de l'information relative aux cookies et les moyens de s'opposer à leur dépôt (" tag management ") ; le dépôt d'une demande d'autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire ; et le déploiement d'une procédure de vérification quotidienne des demandes de désabonnement à des newsletters.