Données persos : Cdiscount (encore) rattrapé au collet par la CNIL

Sous la forme d’une mise en demeure, la CNIL fustige les pratiques de Cdiscount sur la protection défaillantes des données personnelles et de la sécurité associée à leur traitement.

Elle est intervenue après avoir reçu 80 plaintes visant la plateforme marchande pionnière en France (groupe Casino) et avoir mené plusieurs missions de contrôles sur le premier trimestre 2016. Les réclamations portaient sur des défaillances techniques présumées ayant entrainé la divulgation de données à des tiers non autorisés.

Les contrôles ont permis de constater des « manquements graves » selon la Commission nationale de l’informatique et des libertés, en particulier la conservation de plus de 4000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée.

« Parmi ceux-ci, 3000 assortis de leur cryptogramme dont 2104 toujours en cours de validité. Cerise sur le gâteau, cette base était accessible en interne mais aussi à l’ensemble des prestataires externes », précise Le Parisien.

C’est le point le plus sensible mais la liste des carences (et parfois de négligences) est longue : 10 en tout.

Pêle-mêle, citons la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL, la présence de commentaires non pertinents dans sa base de données (un concurrent comme Boulanger avait été épinglé par la CNIL pour des faits similaires en 2015) et de vieux trucs comme Hérode comme l’absence d’information des utilisateurs du site Internet quant au traitement de leurs données.

Une mise en demeure sans sanction financière a été émise envers Cdiscount, filiale du groupe Casino. Il dispose d’un délai de trois mois (renouvelable une fois) pour se conformer à la loi.

D’après l’Observatoire des Usages Internet de Médiamétrie d’Avril-Juin 2016 délivré via la FEVAD, Cdiscount constitue un des piliers de l’e-commerce. C’est le deuxième site marchand en termes d’audience (10,4 millions de visiteurs uniques), derrière Amazon.fr.

La CNIL évoque « 85 000 ventes » par jour sur Cdiscount sur la foi d’éléments recensés sur le site marchand. Il a réalisé un chiffre d’affaires de 2,7 milliards d’euros en 2015.

Ce n’est pas la première fois que la CNIL rattrape Cdiscount au collet : en 2008, elle avait reçu onze plaintes de personnes ayant rencontré des difficultés pour exercer leur droit d’opposition à figurer dans un traitement de données à caractère personnel auprès de la société Internet marchande (délibération en date du 6 novembre 2008 selon Légifrance).

Les réclamations portaient à l’époque sur des soucis pour se désabonner des newsletters promotionnelles de l’enseigne e-commerce.