CNIL : Cdiscount a fait de nombreuses erreurs et doit les corriger !

1
PARTAGER
CNIL : Cdiscount a fait de nombreuses erreurs et doit les corriger !

Si vous avez déjà fait un achat sur internet, vous connaissez très probablement le site Cdiscount, un site d’e-commerce qui vend aussi bien des jeux vidéos, des DVD que des jouets, de l’électroménager ou de la puériculture. Mais ce n’est pas pour parler du contenu que j’évoque Cdiscount ni pour parler de l’ergonomie du site que je ne trouve pas top mais pour traiter de sécurité. Vous vous demandez quel est le rapport ? Je ne parle pas non plus de l’authentification sur le site marchand mais de données personnelles d’acheteurs qui ont été enregistrées et conservées de façon non sécurisée. Cela a valu au site une mise en demeure de la part de la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Avec plus de 85 000 ventes et 2 millions de visiteurs par jour, on peut s’attendre de la part d’un tel site à un niveau de sécurité parmi les plus élevés. ..et bien non et quand vous allez lire ce qui suit, vous allez avoir peur. Je trouve cela dingue de découvrir que des informations bancaires et des commentaires « non pertinents » ont été enregistrés et surtout en « clair », c’est à dire de manière non sécurisé et visible des utilisateurs de leur base de données.

Cette mise en demeure fait suite à une enquête de la CNIL ouverte suite à la réception de 80 plaintes contre Cdiscount depuis 2015. Ces contrôles ont permis à la CNIL d’engager deux actions : une procédure de sanction et une procédure de mise en demeure. Les manquements sont nombreux et ils sont impressionnants. Voici un petit aperçu de ce que Cdiscount n’aurait pas dû faire :

  • Conservation de plusieurs millions de comptes (anciens et nouveaux clients) sans aucune suppression ni limitation de durée
  • Conservation non sécurisée de plus de 4000 coordonnées bancaires, parfois associées au cryptogramme
  • Défaut de politique de mots de passe suffisamment robustes
  • Utilisation de cookies sans finalité et pour des durées excessives

Il est donc reproché à Cdiscount de ne pas avoir pris toutes les mesures nécessaires pour mieux sécuriser les transactions (protection des informations bancaires lors d’achats par téléphone par exemple) et d’avoir conservé d’autres données pour une durée excessive.

Voici, à titre d’information, quelques-unes des informations qualifiées de « non pertinentes » par la CNIL et pourtant enregistrées dans la base de données de Cdiscount :

« CLT SUPER CHIANT», « CLTE IMBECILE», « CLIENT RACISTE», « CLT A UNE MALADIE CARDIAQUE», « URGENT CLIENT AYANT UN CANCER QUI LUI DONNE DU MAL A PARLER AU TELEPHONE», « CLT SOUHAITE RECEVOIR SA COMMANDE CAR SA MERE EST DIABETIQUE ET ELLE N A PAS DE REFRIGERATEUR POUR SON MEDICAMENT», « LE CLIENT M INDIQUE QUE SA FEMME SOUFFRE D UNE SCLEROSE EN PLAQUE».

La mise en demeure oblige Cdiscount à prendre des décisions et surtout à agir pour se conformer à la loi et ceci dans un délai de 3 mois. Si la société basée à Bordeaux se remet dans le droit chemin, aucune suite ne sera donnée à ces procédures.

D’après le document de la CNIL, Cdiscount aurait déjà pris des mesures correctives…ce que j’espère pour tous les consommateurs que nous sommes. Malgré cela, je pense que l’image de Cdiscount risque d’en prendre un coup. Cela ne fait pas très « pro » tout de même !

Si vous souhaitez lire le document CNIL dans son intégralité et y découvrir les manquements mais également les actions à mener par Cdiscount, je vous invite à cliquer sur le document CNIL sur l’avertissement et la mise en demeure de Cdiscount.

Laisser un commentaire

1 Commentaire sur "CNIL : Cdiscount a fait de nombreuses erreurs et doit les corriger !"

Notification
avatar
Classer par:   + récents | + anciens | mieux notés
Jacky SMADJA
Invité

Suite à vos activités récemment dévoilées par la presse et au manque de confiance que je vous attribue désormais, je pense que je vais cesser de travailler avec vous et revenir à un site beaucoup plus sérieux comme Amazon par exemple!
Je trouve inadmissible en effet que de telles fuites puissent s’avérer sur votre site.
Et encore plus surpris qu’on ne puissent vous joindre par mail ou téléphone sans devoir payer 0,35€ la minute…

wpDiscuz