LEAD 1-La Cnil épingle Cdiscount pour manquements graves à la sécurité

mercredi 19 octobre 2016 18h46
 

(Actualisé avec réaction de Cdiscount)

PARIS, 19 octobre (Reuters) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé mercredi avoir prononcé un avertissement public à l'encontre de Cdiscount, filiale de e-commerce de Casino, pour "manquements graves" à la sécurité des données.

La commission, qui précise avoir reçu 80 plaintes concernant la divulgation de données à des tiers non autorisés, a procédé à plusieurs missions de contrôle entre février et mars 2016.

"L'existence de multiples manquements constatés" a conduit la Cnil à engager une procédure de sanction sous forme d'avertissement public ainsi qu'une procédure de mise en demeure.

La Cnil pointe notamment la conservation dans des bases de données de plusieurs millions de comptes d'anciens clients et prospects, sans aucune suppression ni limitation de durée, ou bien la conservation de plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée.

Si, depuis, la société a mis en place des mesures correctives, cette sanction publique est néanmoins justifiée en raison de la nature et du nombre de données en cause, ajoute la commission.

Les contrôles ont également révélé d'autres manquements à la loi comme la mise en ÷uvre d'un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la Cnil, l'enregistrement des coordonnées bancaires de clients lors d'appels reçus par la société ou la présence, dans sa base de données, de commentaires tels que "client a une maladie cardiaque" ou "client raciste".

La Cnil a donc adressé à Cdiscount une mise en demeure de se conformer à la loi dans un délai de trois mois, renouvelable une fois.

Dans un communiqué, la société confirme que des mesures correctrices ont été mises en place et que les pratiques dénoncées par la Cnil "demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge inadmissibles et comprend qu'elles aient pu choquer".

Le groupe assure également qu'"aucune faille de sécurité n'a été relevée" dans ses systèmes.

En juillet 2015, la Cnil avait épinglé le distributeur Boulanger pour des fichiers comportant de nombreux commentaires sur ses clients, comme "n'a pas de cerveau" ou "client alcoolique". (Pascale Denis, édité par Jean-Michel Bélot)