La Cnil avertit Cdiscount pour défaut de sécurisation des données bancaires

20 octobre 2016 à 14h39
0
La commission en charge de la protection des données des internautes émet un avertissement à l'encontre de Cdiscount. La Cnil estime que le site a commis des manques graves en ce qui concerne la sécurité de certaines données.

La Cnil émet un avertissement portant sur les pratiques en matière d'utilisation et de conservation des données du site Cdiscount. L'organisme juge que la plateforme a commis des fautes particulièrement. Par exemple, elle n'a pas imposé de durée de conservation (ni de limitation de durée) pour une base de données de plusieurs millions de comptes d'anciens clients et prospects.

Autre point posant problème, « la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée », explique la Cnil. Cet avertissement public intervient après la réception par l'organisme de 80 plaintes concernant la société. Il s'agissait de critiques relatives à « des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés ».

La Cnil relève à ce titre que Cdiscount n'a pas mis en œuvre des mesures de sécurité suffisantes pour assurer la confidentialité des données. Depuis que ses problèmes ont été portés à la connaissance de la société, des correctifs ont été apportés. Toutefois, d'autres points critiques ont été constatés par la Cnil.

05292876-photo-cnil-logo.jpg


Dans un communiqué, elle dresse liste des points problématiques du côté de Cdiscount :

  • la mise en œuvre d'un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL.
  • la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste... » .
  • l'enregistrement des coordonnées bancaires de clients lors d'appels reçus par la société.
  • l'absence d'information des utilisateurs du site quant au traitement de leurs données.
  • l'absence de consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospection commerciale électronique.
  • le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans).
  • le défaut de politique de mots de passe suffisamment robustes.

A lire également
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

NVIDIA en discussion avancée pour le rachat d'ARM pour au moins 32 milliards
Vignette Crit'air : vers un durcissement des conditions d'obtention
Renault annonce une perte record de près de 7,3 milliards d'euros
Elon Musk veut fournir des logiciels, des batteries et des moteurs à d'autres constructeurs
L'électricité produite en Europe au premier semestre provenait majoritairement d'énergies renouvelables
La première station de recharge à hydrogène ferroviaire annoncée en Allemagne
Rocambole : l'application est enfin de retour sur le Google Play Store !
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Windows : le bug de recherche dans l'Explorateur bientôt réglé... Huit mois après
L'évasion Carlos Ghosn financée en Bitcoins
scroll top