La CNIL interpelle la Fnac sur la gestion des données bancaires
La Fnac devrait améliorer la protection de son système d'information
Après un contrôle effectué en février 2012, la CNIL a fait part de ses doutes quant à l'intégrité du système d'information de la Fnac. Elle a ainsi lancé un avertissement au groupe pour qu'il prenne les mesures appropriées, notamment en renforçant la sécurisation de sa base de données.
Un niveau de sécurité insuffisant
Selon la Commission nationale de l'informatique et des libertés, la Fnac utilise une seule base de données pour enregistrer le nom du titulaire de la carte bancaire utilisée pour effectuer un paiement en ligne sur son site, la date de validité de la carte, et quelquefois le cryptogramme visuel, mais aussi le numéro de la carte, et ce, dans un format inadapté.
Au mois de février 2012, les responsables du contrôle de la CNIL ont découvert des données concernant plusieurs millions de cartes bancaires en cours de validité. D'autres données sont relatives à des cartes bancaires dont la durée de validité a déjà expiré, cependant aucune mise à jour n'a été effectuée et aucun système d'archivage n'a été mis en place.
Les réactions de la Fnac
Les responsables de la Fnac ont pris acte de cet avertissement, cependant ils ont tenu à indiquer qu'aucun client n'a encore subi de préjudice depuis l'ouverture du site. Ils ont également rajouté qu'ils mettront bientôt en œuvre la norme PCI-DSS sur leur système d'information. Il s'agit de la norme de sécurité la plus performante du marché. Cette démarche serait bénéfique pour les clients de la Fnac, étant donné que les données bancaires sont des informations très confidentielles qui doivent être préservées « en lieu sûr ».
