Mercredi 19 octobre 2016, après une enquête menée début d’année 2016, la CNIL a sanctionné et mis en demeure le site de vente en ligne Cdiscount pour des manquements à la protection des données à caractères personnels.
Une sanction
Au vue de la gravité des manquements, la CNIL a sanctionné l’entreprise d’un avertissement public pour défaut de sécurité et de confidentialité des données personnelles de ses clients. En effet, les employés d’un centre d’appel téléphonique ont stocké 4179 numéros de cartes bancaires, ainsi que certains cryptogrammes, dans un champ réservé aux commentaires dans la base de données. Ces données étaient alors accessibles et non sécurisées. De plus, la CNIL a pris cette sanction rarement prononcée car Cdiscount a conservé des comptes d’anciens clients durant une période excessive.
Une mise en demeure
La CNIL a constaté plusieurs autres manquements de la société concernant des données personnelles. Ainsi, la commission a adressé à la plateforme d’e-commerce une mise en demeure de se mettre en conformité dans un délai de 3 mois. L’existence de 10 manquements ont été constatés, dont notamment la présence de commentaires dans le fichier client tel que « client raciste » et « client a une maladie cardiaque ». Par ailleurs, la plateforme en ligne ne demandait pas le consentement des clients pour l’enregistrement de leurs coordonnées bancaires qu’ils donnaient lors d’appels téléphoniques. Cdiscount a aussi mis en place une politique de lutte contre la fraude bancaire sans en demander l’autorisation à la CNIL.
La CNIL a indiqué que la société a déjà pris des mesures pour corriger ses manquements.
