La Cnil averti Cdiscount pour des problèmes sur la sécurité et les données
La plateforme d'e-commerce Cdiscount s'est vue avertie par la Cnil mercredi 19, pour des problèmes de sécurité et autres "manquements graves".
Le site de commerce en ligne Cdiscount s’est fait taper sur les doigts par la Commission nationale de l’informatique et des libertés (Cnil) mercredi 19 octobre. La filiale e-commerce de Casino aurait fauté avec plusieurs problèmes vis à vis de la sécurité des données de ses clients et d’autres manquements graves d’après la commission.
Mise en demeure et procédure de sanction
Cette mise en demeure n’est pas une sanction en soi mais un avertissement public qui invite le site internet à changer ses pratiques et corriger ses failles de sécurité au plus vite. La Cnil note dans son communiqué : “aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti” et Cdiscount dispose de trois mois pour rectifier le tir. C’est pas moins de 80 plaintes de clients contre le site depuis 2015 qui ont mis la puce à l’oreille de la Commission.
Elle annonce avoir procédé à des missions de contrôle entre février et mars 2016 et ses découvertes font froid dans le dos pour certaines, notamment les manquements aux règles de sécurité des données bancaires. L’entreprise aurait conservé plus de 4.000 données bancaires de façon non sécurisée alors même que certaines étaient associées avec le cryptogramme visuel. Cdiscount garderait également les données plusieurs millions de compte d’anciens clients et de prospects sans suppression ni durée limite de conservation.
Conservation non sécurisée de 4.000 données bancaires
Ces problèmes ont été résolus depuis mais la Cnil estime qu’il fallait en faire un exemple public pour sensibiliser les autres acteurs du marché et les particuliers. Mais la liste des manquements ne s’arrête pas là et la Commission a constaté d’autres pratiques douteuses la présence de commentaires non pertinents dans la base de donnée sur les clients tels que “client a une maladie cardiaque” ou “client raciste”.
La liste des griefs continue : défaut de politique de mots de passe suffisamment robustes, absence d’information et de consentement des utilisateurs par rapport au traitement et à la conservation de les données, enregistrement des coordonnées bancaires lors d’appels téléphoniques.