Type de juridiction : Conseil d’État
Juridiction : Conseil d’Etat
Thématique : Avertissement de Cdiscount
→ RésuméCdiscount a reçu un avertissement de la CNIL suite à plus de 80 plaintes concernant des défaillances techniques ayant entraîné la divulgation de données personnelles. Lors d’un contrôle, il a été constaté que la société conservait plus de 4000 numéros de cartes bancaires en clair, ainsi que 3000 cryptogrammes visuels, en violation de la loi du 6 janvier 1978. La conservation du cryptogramme, qui ne doit excéder le temps nécessaire à la transaction, a également été jugée illicite. De plus, Cdiscount n’a pas respecté ses engagements de conformité à la norme simplifiée n°48, n’ayant mis en place aucune règle de conservation des données.
|
Contrôle de la CNIL
Suite à la réception de plus de 80 plaintes depuis 2015 concernant la société Cdiscount relatives notamment à des défaillances techniques qui auraient entraîné la divulgation de données à caractère personnel à des tiers non autorisés, une délégation de la CNIL a opéré un contrôle sur place. Aux termes du contrôle mené, la société a reçu un avertissement.
Modalité de conservation des données bancaires
A cette occasion, la délégation a constaté que la société Cdiscount conservait plus de 4000 numéros de cartes bancaires de clients en clair dans les champs commentaires de sa base de données. Elle a également constaté la présence dans ces mêmes champs, de plus de 3000 cryptogrammes visuels associés aux numéros des cartes bancaires des clients dont certaines encore valides. Ces données ont été collectées dans le cadre d’une activité accessoire de la société, celle de la vente à distance par téléphone, la vente en ligne sur internet représentant son activité principale.
Or, l’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
Conservation illicite du cryptogramme
L’unique finalité du cryptogramme visuel de la carte bancaire est de s’assurer que le client est bien en possession physique de la carte bancaire utilisée. En conséquence, une fois cette vérification ponctuelle effectuée, sa conservation est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction bancaire, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour des achats ultérieurs.
Non-respect de la NS 48
La société n’a pas non plus pris les mesures nécessaires pour se conformer à ses propres engagements de conformité à la norme simplifiée n°48 : aucune règle de conservation des données, ni mécanisme d’archivage ou de purge des données des clients et des prospects n’ont été mis en place.
Laisser un commentaire