Cdiscount épinglé par la CNIL

logo Cdiscount

Le site d’achat en ligne Cdiscount a été récemment réprimandé par la CNIL en raison de nombreux manquements graves.

Le 19 octobre dernier, le cybermarchand a été officiellement sanctionné par un avertissement public et mis en demeure par la CNIL (Commission nationale informatique et libertés). Ces deux décisions découlent de la défaillance de Cdiscount quant à la protection des données de ses clients et de nombreux autres manquements constatés lors des contrôles. Détails !

Les infractions objet de l’avertissement public

Le formulaire d’inscription de Cdiscount ne dispose pas d’une case pour consentir ou non à l’envoi de prospections commerciales qui sont activées par défaut. Par ailleurs, il n’avise pas sur le traitement de données personnelles.

Quant à la page de modification des renseignements trouvée dans l’espace client, elle ne précise pas l’identité du responsable de traitement, sa finalité, si les informations sont obligatoires ou facultatives, ni d’ailleurs le droit d’opposition de l’acheteur à ce traitement.

En cas de fermeture de compte, le nom, le prénom et l’adresse mail du client sont supprimés, mais la date de naissance ainsi que l’adresse postale ne le sont pas. Les demandes et les pièces d’identité sont également enregistrées dans son application-métier. Pour ce qui est des mots de passe, la Commission estime que ceux de Cdiscount sont trop faibles et il renchérit que certains sont conservés en clair.

De surcroît, le site intègre deux bases de newsletters dont l’une est dédiée à l’état des abonnements et l’autre à l’envoi effectif des emails. Celles-ci, synchronisées régulièrement, ont subi un dysfonctionnement entraînant la réception de plusieurs newsletters de certains clients qui ne sont même pas inscrits au service. Enfin, certains commentaires non pertinents, allant d’informations confidentielles à des insultes, à l’égard des clients ont été signalés.

Mise en demeure et second point de l’avertissement public

La mise en demeure, quant à elle, a été prononcée en raison de la conservation de données concernant des clients et prospects qui ont ouvert un compte depuis plus de trois ans, mais n’ont pas validé leur commande.

La plus grande reproche faite à l’égard de Cdiscount concerne toutefois le traitement de données des cartes et comptes bancaires, notamment avec son « paiement flash ». Activé automatiquement, ce procédé retient les numéros de la carte du client à sa première commande.

La CNIL explique toutefois que conserver les données bancaires après la réalisation de la commande, sans le consentement de l’utilisateur, est interdit. Pourtant, les agents de la commission ont constaté 4 179 numéros de cartes bancaires, dont certains sont toujours valides, dans les champs de commentaires de la base de données de Cdiscount.

Enfin, le cybermarchand procède à un traitement automatisé des cartes bancaires pour se prémunir des fraudes. Il le fait sans aval de la Commission, ce qui est passible d’une amende atteignant 1,5 millions d’euros.

Choisir la Meilleure Banque

Comparez gratuitement et sans engagement plus de 160 banques en ligne et réseau en moins de 1 minute. Economisez jusqu'à 300€ sur vos frais bancaires

economisez jusqu'a 300€ sur vos frais bancaire
je trouve ma banque

Archives

back top