La Cnil avertit Cdiscount pour défaut de sécurisation des données bancaires

20 octobre 2016 à 14h39
0
La commission en charge de la protection des données des internautes émet un avertissement à l'encontre de Cdiscount. La Cnil estime que le site a commis des manques graves en ce qui concerne la sécurité de certaines données.

La Cnil émet un avertissement portant sur les pratiques en matière d'utilisation et de conservation des données du site Cdiscount. L'organisme juge que la plateforme a commis des fautes particulièrement. Par exemple, elle n'a pas imposé de durée de conservation (ni de limitation de durée) pour une base de données de plusieurs millions de comptes d'anciens clients et prospects.

Autre point posant problème, « la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée », explique la Cnil. Cet avertissement public intervient après la réception par l'organisme de 80 plaintes concernant la société. Il s'agissait de critiques relatives à « des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés ».

La Cnil relève à ce titre que Cdiscount n'a pas mis en œuvre des mesures de sécurité suffisantes pour assurer la confidentialité des données. Depuis que ses problèmes ont été portés à la connaissance de la société, des correctifs ont été apportés. Toutefois, d'autres points critiques ont été constatés par la Cnil.

05292876-photo-cnil-logo.jpg


Dans un communiqué, elle dresse liste des points problématiques du côté de Cdiscount :

  • la mise en œuvre d'un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL.
  • la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste... » .
  • l'enregistrement des coordonnées bancaires de clients lors d'appels reçus par la société.
  • l'absence d'information des utilisateurs du site quant au traitement de leurs données.
  • l'absence de consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospection commerciale électronique.
  • le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans).
  • le défaut de politique de mots de passe suffisamment robustes.

A lire également
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Nintendo Switch (NX) : la présentation vidéo en ligne
Un pirate russe est suspecté d’avoir attaqué LinkedIn
Facebook va proposer de livrer des repas à domicile
Apps iOS et Android, les bons plans et promos du 20 octobre
Free corrige des bugs agaçants de la Freebox mini 4K
Google Wallpapers : une nouvelle app de fonds d'écran pour Android
Tesla : démonstration de la conduite autonome en vidéo
Facebook Messenger suggérera des sujets de conversation
Orange se lance dans la réalité virtuelle avec son casque VR1
Yahoo demande la transparence des agences de renseignement
Haut de page