La CNIL (Commission Nationale de l'Informatique et des Libertés) tire à nouveau à boulets rouges contre le site de e-commerce Cdiscount. Une mauvaise nouvelle alors que le groupe s'apprête à lancer sa propre offre illimitée dans la vidéo, la musique et les livres numériques. La CNIL a épinglé le site pour des manquements graves à la sécurité des données de ses clients, en particulier des données bancaires.
Cdiscount : une mise en demeure à cause de "multiples manquements"
La CNIL a décidé de prendre une mesure forte contre le site de e-commerce Cdiscount bien qu'aucune sanction n'ait été prononcée à son encontre. Ce ne fut pas le cas en 2009 lorsque le groupe avait écopé de 30 000 euros d'amende de la part de la Commission. Mais à l'époque il s'agissait d'abus dans les emails publicitaires et non de problèmes inhérents à la sécurité des données des clients.
La Commission s'est saisie de l'affaire après la réception de plusieurs dizaines de plaintes. Une enquête a été menée et elle a pu identifier "l'existence de multiples manquements à la sécurité" chez Cdiscount ainsi que la conservation de plusieurs millions de comptes "d'anciens clients et prospects, sans aucune suppression ni limitation de durée". Une pratique interdite en France.
Des numéros de cartes de crédit conservés sans cryptage
Si les manquements signalés par la CNIL sont graves, la Commission a également identifié des commentaires racistes ou malveillants dans les fichiers clients du site (une pratique déjà épinglée par la CNIL chez Boulanger en 2015), ce qui a motivé la mise en demeure publique est surtout la conservation des données bancaires des clients.
Plus de 4 000 données bancaires, avec parfois même le cryptogramme visuel, étaient conservées "de manière non-sécurisée". Le champ dans lequel ces données étaient stockées était en clair dans la base de données du site marchand, soit à la vue de n'importe quel hacker qui serait parvenu à pirater le site.
Cdiscount doit rapidement mettre à jour ses systèmes et revoir ses pratiques faute de quoi la CNIL pourrait prendre une sanction à l'encontre du groupe.