La Cnil émet un avertissement portant sur les pratiques en matière d'utilisation et de conservation des données du site Cdiscount. L'organisme juge que la plateforme a commis des fautes particulièrement. Par exemple, elle n'a pas imposé de durée de conservation (ni de limitation de durée) pour une base de données de plusieurs millions de comptes d'anciens clients et prospects.
Autre point posant problème, « la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée », explique la Cnil. Cet avertissement public intervient après la réception par l'organisme de 80 plaintes concernant la société. Il s'agissait de critiques relatives à « des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés ».
La Cnil relève à ce titre que Cdiscount n'a pas mis en œuvre des mesures de sécurité suffisantes pour assurer la confidentialité des données. Depuis que ses problèmes ont été portés à la connaissance de la société, des correctifs ont été apportés. Toutefois, d'autres points critiques ont été constatés par la Cnil.
Dans un communiqué, elle dresse liste des points problématiques du côté de Cdiscount :
- la mise en œuvre d'un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL.
- la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste... » .
- l'enregistrement des coordonnées bancaires de clients lors d'appels reçus par la société.
- l'absence d'information des utilisateurs du site quant au traitement de leurs données.
- l'absence de consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospection commerciale électronique.
- le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans).
- le défaut de politique de mots de passe suffisamment robustes.
A lire également