Avertissement de Cdiscount

Contrôle de la CNIL

Suite à la réception de plus de 80 plaintes depuis 2015 concernant la société Cdiscount  relatives notamment à des défaillances techniques qui auraient entraîné la divulgation de données à caractère personnel à des tiers non autorisés, une délégation de la CNIL a opéré un contrôle sur place. Aux termes du contrôle mené, la société a reçu un avertissement.

Modalité de conservation des données bancaires

A cette occasion, la délégation a constaté que la société Cdiscount  conservait plus de 4000 numéros de cartes bancaires de clients en clair dans les champs commentaires de sa base de données. Elle a également constaté la présence dans ces mêmes champs, de plus de 3000 cryptogrammes visuels associés aux numéros des cartes bancaires des clients dont certaines encore valides.  Ces données ont été collectées dans le cadre d'une activité accessoire de la société, celle de la vente à distance par téléphone, la vente en ligne sur internet représentant son activité principale.

Or, l'article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Conservation illicite du cryptogramme

L'unique finalité du cryptogramme visuel de la carte bancaire est de s'assurer que le client est bien en possession physique de la carte bancaire utilisée. En conséquence, une fois cette vérification ponctuelle effectuée, sa conservation est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction bancaire, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour des achats ultérieurs.

Non-respect de la NS 48

La société n'a pas non plus pris les mesures nécessaires pour se conformer à ses propres engagements de conformité à la norme simplifiée n°48 : aucune règle de conservation des données, ni mécanisme d'archivage ou de purge des données des clients et des prospects n’ont été mis en place.

[toggles class="yourcustomclass"]

[toggle title="Télécharger la Décision" class="in"]Télécharger [/toggle][toggle title="Poser une Question"]Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h[/toggle][toggle title="Paramétrer une Alerte"]Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu'une décision est rendue sur ce thème[/toggle][toggle title="Commander un Casier judiciaire"]Commander un bilan judiciaire sur l'une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).[/toggle][acc_item title="Reproduction"]Copier ou transmettre ce contenu[/toggle][toggle title="Vous avez traité un dossier similaire?"]Maître [/toggle]

[/toggles]