Cdiscount sanctionné pour défaut de sécurité

C'est un avertissement public qui fera mauvais genre pour le site d'e-commerce Cdiscount dans un domaine où la confiance accordée par les utilisateurs est à chérir. La Commission nationale de l'informatique et des libertés lui reproche notamment un défaut de sécurité.

Ce qui fait le plus tiquer est un contrôle effectué par le Cnil en février dernier et au cours duquel il a été constaté que Cdiscount conservait 4 179 numéros de cartes bancaires de clients en clair dans les champs de commentaires de sa base de données. Plus de 3 000 cryptogrammes visuels étaient associés à des numéros de cartes dont 2 104 encore valides.

Il y a quand même de quoi être choqué pour un site de la trempe de Cdiscount qui a expliqué que ces données en clair dans les commentaires avaient été collectées par un prestataire pour une activité de vente à distance par téléphone et non pour la vente en ligne sur Internet.

Pour également avoir " conservé des données de plusieurs millions de comptes d'anciens clients et prospects, sans aucune suppression ni limitation de durée ", Cdiscount n'échappe donc pas à l'avertissement public qui pourra aussi servir de mise en garde à l'ensemble du secteur de la vente à distance.

Si les manquements constatés ont été corrigés, Cdiscount écope aussi d'une mise en demeure pour d'autres manquements à la loi. Parmi ceux-ci, la " présence de commentaires non pertinents dans sa base de données (client a une maladie cardiaque, client raciste…) ", l'absence d'informations concernant le traitement des données, pas de politique de mots de passe suffisamment robustes.

Pour la mise en demeure, qui n'est ce coup-ci pas une sanction, Cdiscout dispose de trois mois pour se conformer à la loi. Hasard de la communication de la Cnil… Cdiscount célèbre en ce moment ses 18 ans. Filiale du groupe Casino, Cdiscount revendique 2 millions de visiteurs par jour et 16 millions de clients.