CDISCOUNT : avertissement et mise en demeure pour de nombreux manquements

19 octobre 2016

La formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la société CDISCOUNT en raison de manquements graves portant notamment sur la sécurité des données.

Par ailleurs, la Présidente de la CNIL a mis en demeure la société pour de nombreux autres manquements constatés lors de contrôles.

Depuis 2015, la CNIL a reçu 80 plaintes concernant la société CDISCOUNT relatives notamment à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés. Elle a ainsi procédé à plusieurs missions de contrôle, entre février et mars 2016, auprès de cette société dont l’activité principale est la vente de produits aux particuliers sur Internet.

Ces contrôles avaient pour objet de vérifier la conformité des traitements mis en œuvre par la société aux dispositions de la loi Informatique et Libertés, en particulier ceux relatifs aux données des clients et des prospects.

L’existence de multiples manquements constatés a conduit la Présidente de la CNIL à engager simultanément deux procédures : une procédure de sanction avec la désignation d’un rapporteur et une procédure de mise en demeure.

La procédure de sanction : un avertissement public pour, notamment, défaut de sécurité

Les contrôles ont notamment permis de constater des manquements suivants :

  • la conservation en base de données de plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée,
  • la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée.

En raison de la particulière gravité des manquements constatés, la Présidente a décidé d’engager une procédure de sanction en désignant un rapporteur.

En charge de statuer sur ces manquements, la formation restreinte de la CNIL a relevé que la société :

  • n’a pas mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires ;
  • a conservé les données de ses anciens clients et prospects pendant une durée excessive.

La formation restreinte de la CNIL a décidé de prononcer un avertissement public à l’encontre de la société CDISCOUNT.

Si depuis, la société a mis en place des mesures correctives, cette sanction publique est néanmoins justifiée en raison de la nature et du nombre de données en cause. Elle permet aussi de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées.

La décision de mise en demeure

Les contrôles ont révélé d’autres manquements à la loi tels que :

  • la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL ;
  • la présence de commentaires non pertinents dans sa base de données, tels que « client a une maladie cardiaque, client raciste… » ;
  • l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société ;
  • l’absence d’information des utilisateurs du site quant au traitement de leurs données ;
  • l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique ;
  • le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans) ;
  • le défaut de politique de mots de passe suffisamment robustes.

La Présidente a estimé qu’un certain nombre de mesures correctives devraient être engagées par la société.

Elle lui a donc adressé une mise en demeure de se conformer à la loi, dans un délai de trois mois, renouvelable une fois.

Il a été décidé de rendre publique cette mise en demeure notamment en raison de la quantité des manquements constatés (10 au total) et du volume potentiel de personnes concernées, le site internet « www.cdiscount.com » indiquant compter environ 2 millions de visiteurs et 85.000 ventes par jour.

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.

Les mots clés associés à cet article