Cet avertissement concerne le stockage des données bancaires communiquées par les clients, qui ne serait pas fait dans les règles les plus strictes, à savoir avec un haut niveau de sécurité, une durée limitée et l’accord au préalable du client. C’est en tout cas ce qui serait ressorti de plusieurs contrôles menés dans les locaux de la société en début d’année, au mois de février plus précisément.
Dans la base de données, où sont référencés plusieurs millions de clients, se sont en effet avérés être conservés en clair les noms, les numéros de carte, les dates de validité et même, parfois, les cryptogrammes visuels. Il est également apparu que la purge des données n’avait pas été effectuée, comme l'a montré la présence de cartes dont la date de validité avait expiré. À enfin été remarqué que le stockage des données bancaires, devant simplifier les achats ultérieurs, se ferait sans demande au préalable au client.
Fnac Direct a promis de rectifier le tir en mettant en place un nouveau système de traitement et de conservation des données avec un niveau de sécurité élevé. Si ces manquements à la sécurité des données n’ont – à la connaissance de la Cnil – porté préjudice à aucun client, la Cnil a décidé de sanctionner Fnac.com en rendant public cet avertissement. Bien évidemment, la Cnil se réserve le droit d’exercer de nouveaux contrôles et d’aller plus loin dans les sanctions.
