La Cnil avertit Cdiscount pour défaut de sécurisation des données bancaires

Olivier Robillart
Publié le 20 octobre 2016 à 14h39
La commission en charge de la protection des données des internautes émet un avertissement à l'encontre de Cdiscount. La Cnil estime que le site a commis des manques graves en ce qui concerne la sécurité de certaines données.

La Cnil émet un avertissement portant sur les pratiques en matière d'utilisation et de conservation des données du site Cdiscount. L'organisme juge que la plateforme a commis des fautes particulièrement. Par exemple, elle n'a pas imposé de durée de conservation (ni de limitation de durée) pour une base de données de plusieurs millions de comptes d'anciens clients et prospects.

Autre point posant problème, « la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée », explique la Cnil. Cet avertissement public intervient après la réception par l'organisme de 80 plaintes concernant la société. Il s'agissait de critiques relatives à « des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés ».

La Cnil relève à ce titre que Cdiscount n'a pas mis en œuvre des mesures de sécurité suffisantes pour assurer la confidentialité des données. Depuis que ses problèmes ont été portés à la connaissance de la société, des correctifs ont été apportés. Toutefois, d'autres points critiques ont été constatés par la Cnil.

05292876-photo-cnil-logo.jpg


Dans un communiqué, elle dresse liste des points problématiques du côté de Cdiscount :

  • la mise en œuvre d'un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL.
  • la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste... » .
  • l'enregistrement des coordonnées bancaires de clients lors d'appels reçus par la société.
  • l'absence d'information des utilisateurs du site quant au traitement de leurs données.
  • l'absence de consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospection commerciale électronique.
  • le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans).
  • le défaut de politique de mots de passe suffisamment robustes.

A lire également
Olivier Robillart
Par Olivier Robillart

Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic. Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction. J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles