Après avoir procédé à plusieurs missions de contrôle, entre février et mars 2016, auprès de ce géant de la vente de produits aux particuliers sur Internet, la CNIL qui avait été préalablement saisie par des consommateurs a prononcé un avertissement public à l’encontre de CDISCOUNT.
Ces manquements concernent notamment la sécurité des données, la CNIL étant en charge entre autres « de vérifier la conformité des traitements mis en œuvre par la société aux dispositions de la loi Informatique et Libertés, en particulier ceux relatifs aux données des clients et des prospects ».
Les contrôles ont notamment permis de constater les manquements suivants :
- la conservation en base de données de plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée,
- la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée.
En effet, la CNIL relève que CDISCOUNT « n’a pas mis en œuvre les moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair dans un champ commentaire de sa base de données, lesdits numéros de cartes bancaires ». De plus, CDISCOUNT aurait conservé les données de ses anciens clients et prospects pendant une durée excessive.
De plus, d’autres manquements sont apparus au cours du contrôle :
- la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL ;
- la présence de commentaires non pertinents dans sa base de données, tels que «client a une maladie cardiaque, client raciste… » ;
- l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société ;
- l’absence d’information des utilisateurs du site quant au traitement de leurs données
- l’absence de consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique ;
- le dépôt de cookie sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans) ;
- le défaut de politique de mots de passe suffisamment robustes.
Malgré la mise en place de mesures correctives, la formation restreinte de la CNIL a décidé néanmoins de prononcer un avertissement public à l’encontre de la société CDISCOUNT. Au-delà de la sanction infligée à la société (publication de l’avertissement), la CNIL a voulu marquer les esprits compte tenu de la fréquentation de ce site marchand, du nombre de transactions qu’il génère et «sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées ».
Il convient de rappeler qu’une mise en demeure n’est pas une sanction. En effet, si la société se conforme à la loi dans le délai imparti (trois mois, renouvelables une fois) aucune suite ne sera donnée à cette procédure.
Chaque entreprise ou institution doit veiller au bon traitement des données à caractère personnel. Selon l’article 22 de la loi Informatique et Libertés du 6 Janvier 1978 modifiée, le Correspondant Informatique et Libertés (CIL) est la personne chargée d’assurer le respect des obligations liées aux traitements de données à caractère personnel. Toute personne morale mettant en œuvre un traitement de données est dans l’obligation de déclarer chacun de ses traitements faisant l’objet d’une nouvelle finalité.
Des solutions existent pour sécuriser ces traitements de données, le Cabinet HAAS Avocats a obtenu le Label CNIL « audit de traitements » pour sa procédure d’audit intitulée « Audit Informatique et libertés».
Le label CNIL permet aux entreprises de se distinguer par la qualité de leur service. Pour les utilisateurs, c’est un indicateur de confiance dans les produits ou procédures labellisés, qui permet ainsi d’identifier et privilégier les organismes qui garantissent un haut niveau de protection de leurs données personnelles.
Pour tout renseignement et demande de devis, contactez le Cabinet HAAS Avocats ici.