Données en clair : l’éditeur de Fnac.com reçoit un avertissement de la Cnil

La Cnil vient d'adresser un avertissement à la société Fnac Direct, exploitante du site fnac.com. L'autorité lui reproche de ne pas avoir suffisamment sécurisé les données bancaires qu'elle détient sur ses clients. Certaines informations étaient même visibles en clair, précise la Commission.

Après avoir réalisé un contrôle des activités de la société Fnac Direct en matière de traitement des données personnelles en février dernier, la Cnil lui adresse un avertissement. L'autorité constate que la société a manqué à ses obligations de conserver ce type d'informations via un système garantissant un « haut niveau de sécurité ».

Dans une note, la Cnil indique que « cette société conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte et, parfois, le cryptogramme visuel, et dans un format insuffisamment sécurisé, le numéro de la carte ».

Lors du contrôle effectué, l'autorité a ainsi remarqué que plusieurs millions de cartes bancaires figuraient dans cette base « sans qu'elle n'ait fait l'objet de purge ou d'archivage ». La Cnil reproche donc également à Fnac Direct de ne pas avoir mis en place une durée de conservation limite pour ces données personnelles.

Enfin, l'éditeur conservait ces données bancaires par défaut à des fins d'identification commerciale. Une pratique interdite puisque les utilisateurs doivent donner leur consentement pour qu'un tel mécanisme puisse être proposé aux clients.

L'organisme tient à préciser qu'aucun préjudice n'a été constaté du fait de ce manque de sécurité. De même, la société indique avoir depuis mis en place un système de traitement de ce type d'informations caractérisé par un haut niveau de sécurité.

• Découvrez les meilleurs codes promo Fnac au sein de notre offre de bons plans.