Avertissement de Cdiscount

·

·

Avertissement de Cdiscount
, ,

Contrôle de la CNIL

Suite à la réception de plus de 80 plaintes depuis 2015 concernant la société Cdiscount  relatives notamment à des défaillances techniques qui auraient entraîné la divulgation de données à caractère personnel à des tiers non autorisés, une délégation de la CNIL a opéré un contrôle sur place. Aux termes du contrôle mené, la société a reçu un avertissement.

Modalité de conservation des données bancaires

A cette occasion, la délégation a constaté que la société Cdiscount  conservait plus de 4000 numéros de cartes bancaires de clients en clair dans les champs commentaires de sa base de données. Elle a également constaté la présence dans ces mêmes champs, de plus de 3000 cryptogrammes visuels associés aux numéros des cartes bancaires des clients dont certaines encore valides.  Ces données ont été collectées dans le cadre d’une activité accessoire de la société, celle de la vente à distance par téléphone, la vente en ligne sur internet représentant son activité principale.

Or, l’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Conservation illicite du cryptogramme

L’unique finalité du cryptogramme visuel de la carte bancaire est de s’assurer que le client est bien en possession physique de la carte bancaire utilisée. En conséquence, une fois cette vérification ponctuelle effectuée, sa conservation est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction bancaire, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour des achats ultérieurs.

Non-respect de la NS 48

La société n’a pas non plus pris les mesures nécessaires pour se conformer à ses propres engagements de conformité à la norme simplifiée n°48 : aucune règle de conservation des données, ni mécanisme d’archivage ou de purge des données des clients et des prospects n’ont été mis en place.

Télécharger 

Questions / Réponses juridiques

Quelles ont été les raisons du contrôle de la CNIL sur Cdiscount ?

La CNIL a décidé d’opérer un contrôle sur place chez Cdiscount suite à la réception de plus de 80 plaintes depuis 2015. Ces plaintes concernaient principalement des défaillances techniques qui auraient conduit à la divulgation de données personnelles à des tiers non autorisés.

Ce type de situation soulève des préoccupations majeures en matière de protection des données, car la divulgation non autorisée peut entraîner des conséquences graves pour les clients, notamment des risques de fraude ou d’usurpation d’identité.

À l’issue de ce contrôle, la société a reçu un avertissement, ce qui indique que la CNIL a identifié des manquements aux obligations de sécurité des données.

Quelles données Cdiscount a-t-elle conservées de manière problématique ?

Lors du contrôle, la délégation de la CNIL a constaté que Cdiscount conservait plus de 4000 numéros de cartes bancaires de clients en clair dans sa base de données.

De plus, plus de 3000 cryptogrammes visuels associés à ces numéros étaient également présents dans les champs commentaires, dont certains étaient encore valides.

Ces données ont été collectées dans le cadre d’une activité accessoire de la société, à savoir la vente à distance par téléphone, alors que la vente en ligne représentait son activité principale.

Quelles sont les obligations légales concernant la sécurité des données ?

Selon l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement des données est tenu de prendre toutes les précautions nécessaires pour garantir la sécurité des données.

Cela inclut la prévention contre la déformation, l’endommagement ou l’accès non autorisé par des tiers.

Le non-respect de ces obligations peut entraîner des sanctions de la part de la CNIL, ainsi que des conséquences pour les personnes concernées par la divulgation de leurs données personnelles.

Pourquoi la conservation du cryptogramme visuel est-elle interdite ?

Le cryptogramme visuel d’une carte bancaire a pour unique finalité de vérifier que le client possède physiquement la carte utilisée pour la transaction.

Une fois cette vérification effectuée, sa conservation au-delà du temps strictement nécessaire pour réaliser la transaction est interdite.

Cela inclut les cas de paiements successifs ou de conservation du numéro de la carte pour des achats futurs.

Cette règle vise à protéger les clients contre les abus et à minimiser les risques de fraude.

Quels manquements a constatés la CNIL concernant la norme simplifiée n°48 ?

La CNIL a noté que Cdiscount n’avait pas pris les mesures nécessaires pour se conformer à ses propres engagements de conformité à la norme simplifiée n°48.

Aucun mécanisme de conservation des données, d’archivage ou de purge des données des clients et des prospects n’avait été mis en place.

Cela signifie que la société n’avait pas de règles claires sur la durée de conservation des données, ce qui est essentiel pour respecter les droits des utilisateurs et garantir la sécurité des informations personnelles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  • Bienvenue, je suis votre assistant juridique
Rédaction en cours .... ...
Chat Icon