La CNIL accuse le site d’e-commerce Cdiscount de « graves manquements » sur la protection et l’exploitation des données de ses clients. Bilan : 80 plaintes, une sanction et une mise en demeure.
Un « avertissement public » pour des « manquements graves » est la décision prise par la Commission nationale de l’informatique et des libertés (CNIL) qui a mis en demeure le 19 octobre la société CDiscount, filiale de Casino, afin de corriger plusieurs problèmes importants dans la manière dont elle gère ses fichiers clients. Cela fait suite à plusieurs missions de contrôle ayant eu lieu entre février et mars 2016, ayant abouti à la signalisation de 10 manquements à la loi française.
Le gendarme de la vie privée a en effet relevé plusieurs problèmes liés à la sécurité des informations collectées, des graves manquements à la loi (conservation des données pendant trente ans, politique de cookie non conforme, stockage d’informations bancaires sans le consentement des personnes, etc) et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »).
De plus, une durée excessive de conservation des données clients est aussi pointée du doigt ainsi que la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation. La sécurité des comptes clients aurait elle aussi pu être supérieure si la société avait imposé des mots de passe fort lors de l’inscription, ce qui n’est pas le cas aujourd’hui. On parle ici de plusieurs millions de comptes d’anciens clients et prospects conservés depuis des dizaines d’années ainsi que plus de 4 000 données bancaires stockées de manière non sécurisée (issues de l’activité de vente par téléphone) :
« La formation restreinte de la CNIL a relevé que la société n’a pas mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires »
CDiscount dispose de trois mois (délai renouvelable une fois) pour corriger ces différents problèmes, faute de quoi l’entreprise risque une amende. Les mises en demeure publiques de la CNIL sont plutôt rares et le choix de rendre la procédure visant CDiscount publique a été fait « en raison de la quantité des manquements constatés et du volume potentiel de personnes concernées ».
Rappelons que CDiscount draine près de 11 millions de visiteurs uniques par mois, ce qui le propulse à la seconde place du podium des sites e-commerce les plus fréquentés en France, avec un chiffre d’affaires de 2,7 milliards d’euros en 2015. Il avait déjà été condamné en 2009 à verser plus de 30.000 euros à la CNIL pour abus dans ses emails publicitaires.
Attention ARNAQUE :
voir message ci dessous
30 minutes après l’achat la somme apparaissait sur mon compte prélevée par cdiscount sans tenir compte de la remise.
Commande n°1807151047H6H1V du 15/07/2018
message de cdiscount
Bonjour xxxxxx,
C’est votre première commande chez nous et nous en sommes ravis !
Nous avons le plaisir de vous annoncer que le traitement de votre commande est en cours.
Bien sûr, nous vous informerons de son expédition par email.
Vous avez souhaité souscrire à la carte Cdiscount. Une fois votre dossier validé par Banque Casino, vous serez prélevé sur votre carte bancaire Cdiscount du montant de votre commande tenant compte de la remise de bienvenue, et selon les modalités de paiement que vous avez choisies (comptant ou en plusieurs fois).
Rappel important !
Pour des raisons administratives et légales, nous ne pouvons conserver votre caution plus de 14 jours calendaires.
Aussi, nous vous recommandons de transmettre les pièces complémentaires sans attendre, car, passé ce délai, votre caution sera prélevée sur votre carte bancaire et la remise de bienvenue ne pourra malheureusement plus être appliquée sur votre commande.
Un grand merci pour la confiance que vous nous accordez.
À très bientôt !
L’équipe Cdiscount
Les commentaires sont fermés.