PARTAGER

Tandis que Cdiscount fête ses 18 ans en ce mois d’Octobre, ce géant de l’e-commerce, qui figure parmi les sites préférés des français, vient d’écoper d’un avertissement pour des manquements en matière de sécurité et de traitement des données.

 

Ainsi, selon la Cnil, la liste des manquements contenait des faits suffisamment graves et nombreux pour que la décision soit publiquement publiée sur le web, en guise d’avertissement et pour sensibiliser les autres acteurs de la vente à distance. Que s’est-il passé, en quoi les manquements étaient si importants, et y a-t-il eu fuite d’information ? Tels sont les sujets que nous vous proposons de couvrir dans cet article.

85 PLAINTES DÉPOSÉES

Second site e-commerce le plus visité en France, Cdiscount possède près de 11.2 millions de visiteurs uniques par mois et touche près de 23,4% des internautes français. Si l’attention de la Cnil s’est posée sur ce leader de la vente en ligne, c’est avant tout parce que des plaintes ont été déposées, plus précisément, 85 plaintes depuis 2015. Suite à ces plaintes, des contrôles ont été mis en place chez Cdiscount en février et mars 2016.

Les résultats sont édifiants :

4 179 données bancaires étaient conservées en clair dans un champ commentaire de la base de données, sans aucune protection ni chiffrement. Parmi ceux-ci, 3 000 étaient associés à leur cryptogramme, et 2 104 étaient toujours en cours de validité.
– Plusieurs millions d’anciens comptes de clients et prospects étaient conservés sans aucune limitation de durée.
– La conservation des données bancaires des utilisateurs ne faisait pas appel au à leur consentement.
– Des cookies étaient déposés sur les ordinateurs des abonnés sans aucune limitation ou avec des limitations excessives (jusqu’à 30 ans).
– Des annotations comme “cliente imbécile”, “client raciste” ou “client ayant un cancer” étaient conservés dans des dossiers.

Cependant, aucune perte ou fuite de données n’a été constatée.

sécurité données cdiscount

LA SOCIÉTÉ DOIT ENGAGER DES MESURES CORRECTIVES SOUS 3 MOIS, OU BIEN ELLE ENCOURT JUSQU’À 150 000 EUROS D’AMENDE

DES PRATIQUES ISOLÉES

Cdiscount plaide coupable, mais souligne qu’il s’agit de pratiques isolées. L’e-commerçant a en effet indiqué que ces dysfonctionnements étaient limités à un seul centre d’appel, auquel l’activité avait été retirée il y a plusieurs mois, et que ces pratiques étaient par ailleurs contraires aux valeurs l’entreprise.
De plus, elle a ajouté que des contrôles supplémentaires seraient mis en oeuvre pour veiller au plus strict respect des règles.

3 MOIS POUR FAIRE MEA CULPA

En attendant, la société doit engager des mesures correctives et se conformer à la loi informatique et liberté, dans un délai de 3 mois, renouvelable une fois, faute de quoi elle fera l’objet d’une amende pouvant aller jusqu’à 150 000 euros.

Il s’agira donc pour elle de :
purger ses fichiers,
– mettre en place auprès des clients une bonne information sur l’utilisation des données personnelles et des cookies,
sécuriser et normaliser la collecte des données bancaires.

Cdiscount n’est pas le seul géant de l’e-Commerce a avoir été averti pour de tels faits, en effet, en juillet 2015, Boulanger avait fait l’objet d’un même sanction.

Ainsi, outre les actions régulières de la Cnil, pour protéger ses données bancaires et personnelles, il est donc important de toujours bien vérifier sur quels sites ses achats sont effectués, de choisir des mots de passe complexes, de sécuriser tous ses appareils, ordinateurs comme mobiles ou tablettes, et d’être méfiant en consultant ses emails.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here