La bonne nouvelle, la Cnil veille au grain dans le secteur du commerce en ligne. La mauvaise, des manquements sont encore constatés. En l'occurrence, l'exploitant du site Fnac.com ( Fnac Direct ) vient de se faire taper sur les doigts.
Un simple avertissement mais étalé sur la place publique. Dans le cadre de mise en demeure non respectée, l'autorité administrative a le pouvoir de prononcer une sanction pécuniaire de jusqu'à 150 000 euros ( et 300 000 € pour récidive ).
Lors d'un contrôle qui a eu lieu en février 2012, la Cnil a constaté des manquements dans la conservation des données bancaires des clients du site Fnac.com.
Plusieurs manquements dont des délais d'archivage des données trop longs, et qui plus est au mépris d'obligations de sécurité. Cela fait froid dans le dos alors que récemment plusieurs cas de fuites de données ont été mis au jour. Pour le cas de Fnac.com, révéler quelques données sensibles n'aurait pas posé de problème puisqu'elles étaient sauvegardées dans une base en clair.
Des données relatives à plusieurs millions de cartes bancaires dont certaines étaient toujours en cours de validité : nom du titulaire de la carte utilisée pour une transaction sur le site, date de validité, cryptogramme visuel. Et dans un format jugé insuffisamment sécurisé... le numéro de la carte.
Ouf de soulagement, il n'y a aucun préjudice pour les clients. Depuis, Fnac Direct a indiqué avoir mis en place un système de traitement et de conservation des données avec un haut niveau de sécurité.
