Cdiscount a reçu un avertissement de la CNIL suite à plus de 80 plaintes concernant des défaillances techniques ayant entraîné la divulgation de données personnelles. Lors d’un contrôle, il a été constaté que la société conservait plus de 4000 numéros de cartes bancaires en clair, ainsi que 3000 cryptogrammes visuels, en violation de la loi du 6 janvier 1978. La conservation du cryptogramme, qui ne doit excéder le temps nécessaire à la transaction, a également été jugée illicite. De plus, Cdiscount n’a pas respecté ses engagements de conformité à la norme simplifiée n°48, n’ayant mis en place aucune règle de conservation des données.. Consulter la source documentaire.

Quelles ont été les raisons du contrôle de la CNIL sur Cdiscount ?

La CNIL a décidé d’opérer un contrôle sur place chez Cdiscount suite à la réception de plus de 80 plaintes depuis 2015. Ces plaintes concernaient principalement des défaillances techniques qui auraient conduit à la divulgation de données personnelles à des tiers non autorisés.

Ce type de situation soulève des préoccupations majeures en matière de protection des données, car la divulgation non autorisée peut entraîner des conséquences graves pour les clients, notamment des risques de fraude ou d’usurpation d’identité.

À l’issue de ce contrôle, la société a reçu un avertissement, ce qui indique que la CNIL a identifié des manquements aux obligations de sécurité des données.

Quelles données Cdiscount a-t-elle conservées de manière problématique ?

Lors du contrôle, la délégation de la CNIL a constaté que Cdiscount conservait plus de 4000 numéros de cartes bancaires de clients en clair dans sa base de données.

De plus, plus de 3000 cryptogrammes visuels associés à ces numéros étaient également présents dans les champs commentaires, dont certains étaient encore valides.

Ces données ont été collectées dans le cadre d’une activité accessoire de la société, à savoir la vente à distance par téléphone, alors que la vente en ligne représentait son activité principale.

Quelles sont les obligations légales concernant la sécurité des données ?

Selon l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement des données est tenu de prendre toutes les précautions nécessaires pour garantir la sécurité des données.

Cela inclut la prévention contre la déformation, l’endommagement ou l’accès non autorisé par des tiers.

Le non-respect de ces obligations peut entraîner des sanctions de la part de la CNIL, ainsi que des conséquences pour les personnes concernées par la divulgation de leurs données personnelles.

Pourquoi la conservation du cryptogramme visuel est-elle interdite ?

Le cryptogramme visuel d’une carte bancaire a pour unique finalité de vérifier que le client possède physiquement la carte utilisée pour la transaction.

Une fois cette vérification effectuée, sa conservation au-delà du temps strictement nécessaire pour réaliser la transaction est interdite.

Cela inclut les cas de paiements successifs ou de conservation du numéro de la carte pour des achats futurs.

Cette règle vise à protéger les clients contre les abus et à minimiser les risques de fraude.

Quels manquements a constatés la CNIL concernant la norme simplifiée n°48 ?

La CNIL a noté que Cdiscount n’avait pas pris les mesures nécessaires pour se conformer à ses propres engagements de conformité à la norme simplifiée n°48.

Aucun mécanisme de conservation des données, d’archivage ou de purge des données des clients et des prospects n’avait été mis en place.

Cela signifie que la société n’avait pas de règles claires sur la durée de conservation des données, ce qui est essentiel pour respecter les droits des utilisateurs et garantir la sécurité des informations personnelles.