BFM Business

CDiscount épinglé par la Cnil pour "manquements graves"

Depuis 2015, la CNIL a reçu 80 plaintes concernant CDISCOUNT relatives à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés.

Depuis 2015, la CNIL a reçu 80 plaintes concernant CDISCOUNT relatives à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés. - Eric Piermont-AFP

L'e-commerçant conserve les comptes d'anciens clients sans limite de durée et des données de cartes bancaires sans les protéger, a relevé la CNIL. Elle met en demeure CDiscount de cesser ces dysfonctionnements. La filiale de Casino a commencé à prendre des mesures correctrices.

CDiscount (groupe Casino) avec son chiffre d'affaires de 2,7 milliards d'euros en 2015, est dans le collimateur de la Cnil (Commission nationale informatique et libertés). Ayant reçu depuis 2015, 80 plaintes la concernant relatives à des défaillances ayant entrainé la divulgation de données à des tiers non autorisés, la Commission a procédé à plusieurs contrôles, entre février et mars 2016.
Ces inspections effectuées au sein même de l'entreprise et sur Internet ont abouti au constat de "multiples manquements", une dizaine au total. En conséquence, la présidente de la Cnil a engagé simultanément une procédure de sanction avec désignation d’un rapporteur et une procédure de mise en demeure, "en raison de la particulière gravité des manquements constatés". La sanction correspond à la divulgation d'un avertissement public pour "défaut de sécurité".

Il est reproché à la filiale e-commerce du groupe Casino la conservation en base de données de plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée. Cdiscount conservait aussi plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée. 

A certains noms était ajoutée la mention: "client raciste"

Pour la Cnil, l'e-commerçant "n’a pas mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires".

Les contrôles ont révélé d’autres manquements à la loi tels que la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la Cnil.

CDiscount a commencé à corriger le tir

Les inspecteurs de la commission ont même relevé la présence de commentaires non pertinents dans sa base de données, tels que "client a une maladie cardiaque" ou "client raciste" sans oublier "l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société".

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti (trois mois, renouvelables une fois). Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.

Concernant les numéros de cartes bancaires et les commentaires inadaptés, CDiscount indique que ces dysfonctionnements étaient du à un seul centre d'appel auquel la société a retiré le marché depuis plusieurs mois. Elle précise aussi que la CNIL lui a demandé de renforcer la complexité des mots de passe choisis par les clients, ce qui serait effectif depuis mars 2016.

Frédéric Bergé
https://twitter.com/BergeFrederic Frédéric Bergé Journaliste BFM Éco