La CNIL a mené un contrôle sur Cdiscount suite à plus de 80 plaintes concernant des défaillances techniques ayant entraîné la divulgation de données personnelles. Lors de cette inspection, il a été révélé que la société conservait plus de 4000 numéros de cartes bancaires et 3000 cryptogrammes visuels en clair, en violation de la loi. La conservation du cryptogramme, qui ne doit excéder le temps nécessaire à la transaction, a également été jugée illicite. De plus, Cdiscount n’a pas respecté ses engagements de conformité à la norme simplifiée n°48, n’ayant mis en place aucune règle de conservation ou mécanisme d’archivage.. Consulter la source documentaire.

Quel a été le motif du contrôle de la CNIL sur Cdiscount ?

La CNIL a décidé d’opérer un contrôle sur place chez Cdiscount suite à la réception de plus de 80 plaintes depuis 2015. Ces plaintes concernaient principalement des défaillances techniques qui auraient conduit à la divulgation de données personnelles à des tiers non autorisés.

Cette situation a suscité des inquiétudes quant à la sécurité des données des clients, ce qui a incité la CNIL à agir. À l’issue de ce contrôle, Cdiscount a reçu un avertissement, soulignant la nécessité d’améliorer ses pratiques en matière de protection des données.

Quelles irrégularités ont été constatées concernant la conservation des données bancaires ?

Lors du contrôle, la délégation de la CNIL a découvert que Cdiscount conservait plus de 4000 numéros de cartes bancaires de clients en clair dans les champs commentaires de sa base de données.

De plus, plus de 3000 cryptogrammes visuels associés à ces numéros étaient également présents, dont certains étaient encore valides. Cette conservation inappropriée des données bancaires est en contradiction avec les exigences de sécurité stipulées par la loi.

Quelle est la réglementation concernant la conservation des cryptogrammes visuels ?

Le cryptogramme visuel d’une carte bancaire a pour unique finalité de vérifier que le client possède physiquement la carte utilisée.

Ainsi, sa conservation est strictement interdite au-delà du temps nécessaire pour réaliser la transaction bancaire. Cela inclut les paiements successifs ou la conservation du numéro de la carte pour des achats futurs, ce qui souligne l’importance de respecter les délais de conservation.

Quelles mesures Cdiscount n’a-t-elle pas mises en place pour respecter la norme simplifiée n°48 ?

Cdiscount n’a pas pris les mesures nécessaires pour se conformer à ses propres engagements en matière de conformité à la norme simplifiée n°48.

Il a été constaté qu’aucune règle de conservation des données n’était en place, ni de mécanisme d’archivage ou de purge des données des clients et des prospects. Cette absence de protocoles adéquats expose les données à des risques de sécurité importants.

Quelles sont les obligations du responsable du traitement selon la loi du 6 janvier 1978 ?

Selon l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement des données est tenu de prendre toutes les précautions nécessaires pour garantir la sécurité des données.

Cela inclut la prévention contre la déformation, l’endommagement ou l’accès non autorisé aux données. Ces obligations sont essentielles pour protéger les informations personnelles des clients et assurer leur confidentialité.