Législation : Alertée par des dizaines de plaintes, la Cnil a contrôlé Cdiscount.com et identifié pas moins de 10 manquements, notamment en matière de sécurité. Le site d'e-commerce écope d'un avertissement public et d'une mise en demeure.

Et de deux. Après l'application mobile Gossip, c'est au tour du site de e-commerce Cdiscount.com (18 ans cette semaine) de se voir exposer en place publique pour ses nombreux manquements en matière de gestion des données personnelles, mais aussi de sécurité.



Pour un commerçant, la confiance des internautes est essentielle. Or Cdiscount pourrait voir cette confiance être sérieusement ébranlée après la décision rendue par la Cnil. L'autorité vient en effet de prononcer un avertissement public et de mettre en demeure le site.



publicité

4.000 données bancaires conservées



Celle-ci avait été alertée par de multiples plaintes : 80 depuis 2015. Ces plaintes faisaient état de "défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés". Plusieurs contrôles ont donc été réalisés. Et les conclusions ne sont guère flatteuses.



Parmi les manquements constatés, pas moins de 10 en tout, figure notamment celui qui fait office d'épouvantail pour un e-commerçant : un défaut dans le stockage des données bancaires. Cdiscount conservait plus de 4 000 données bancaires, "associées pour certaines à des cryptogrammes visuels, de manière non sécurisée".



Certes, pour un site comptabilisant 2 millions de visiteurs, cette erreur est loin d'exposer l'ensemble de ses clients. Elle est toutefois révélatrice d'autres mauvaises pratiques, notamment en matière de sécurité informatique. Ce manquement doit aussi être mis en parallèle d'une autre infraction relevée par la Cnil.



Son avertissement public, Cdiscount le doit ainsi, entre autres, à l'absence de recueil du consentement pour la conservation des coordonnées bancaires des acheteurs. Au travers de l'option "paiement flash", le site enregistre par défaut ces données.

Ironiquement, le site de vente sur Internet est également rappelé à l'ordre pour avoir mis en place des systèmes de lutte contre la fraude bancaire, mais sans avoir au préalable obtenu une autorisation auprès de la Cnil.

Consentement - Des oublis multiples



Autre manquement vis-à-vis de la loi, et sans doute aussi à l'égard de ses propres clients, l'enregistrement dans sa base de données de commentaires "non pertinents" les concernant (voir image ci-dessous).





Ces mêmes clients, lors de la création d'un compte dans la perspective d'un achat, ne sont pas non plus informés des traitements de leurs données personnelles. Or, des données, le site en recueille bien, et les conserve "pendant une durée excessive", notamment par le biais de cookies installés sur le terminal de l'internaute pour 30 ans.



Sans même avoir procédé à un achat, un visiteur hérite de 50 cookies, dont certains ont une finalité publicitaire, et ce sans recueil d'un consentement valide. Pour trois de ces cookies, l'entreprise répond même ignorer leur finalité.



"Il apparait que le site n'a pas informé de manière satisfaisante les personnes concernées et n'a pas mis en œuvre de mécanisme valable d'opposition" juge la Cnil. Et Cdiscount ne contribue pas non plus par ses pratiques à assurer la sécurité et la confidentialité des données de ces utilisateurs. Il lui est reproché d'accepter la création de mots de passe ne comptant que 5 caractères, y compris très faible comme "12345".



Au total, les contrôles de la Cnil ont mis au jour 10 manquements. En "raison de la quantité des manquements constatés (…) et du volume potentiel de personnes concernées", l'autorité a donc décidé de rendre publique la mise en demeure de Cdiscount. Une mauvaise publicité en perspective et sans doute pas le cadeau escompté pour célébrer ses 18 ans d'existence. Le site a désormais trois mois pour rectifier le tir.