La Cnil a mis en demeure CDiscount après la découverte d'une dizaine de manquements à la loi Informatique et Libertés, dont la conservation en clair de numéros de cartes bancaires sur une base de données. La faute d'un sous-traitant, a tenté de se défendre le site e-commerce.

La boutique en ligne CDiscount, dont l’image est régulièrement écornée par un service clients qui laisse à désirer, vient de prendre un coup supplémentaire ce mercredi avec la publication par la Cnil d’un avertissement et d’une mise en demeure « en raison de manquements graves portant notamment sur la sécurité des données ».

Lors de contrôles réalisés à la suite de nombreuses plaintes reçues en 2015 par la Cnil, celle-ci avait constaté notamment la présence de commentaires illicites écrits dans une base de données par des employés au sujet des clients (« client raciste », « a une maladie cardiaque », …), des fichiers de prospection conservés sans autorisation, la conservation sans limite de millions de comptes d’anciens clients ou prospects, l’absence d’informations sur le traitement des données, ou encore la mise en œuvre d’un traitement de données non autorisé contre les fraudes à la carte bancaire.

Mais ce qui marque le plus, c’est la découverte de «  plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée ».

cdiscount-produit

Très précisément, on peut lire dans la délibération datée du 20 septembre (.pdf) que ce sont 4 179 numéros de cartes bancaires qui avaient été conservés par Cdiscount, dont 2 104 étaient encore valides avec leur cryptogramme visible en clair, lors d’un contrôle opéré le 11 février 2016.

Pourquoi CDiscount avait ces numéros en base ?

Interrogé par la Cnil sur ce constat rarissime et particulièrement grave, Cdiscount a expliqué qu’il s’agissait de numéros qui avaient été entrés par les employés d’un prestataire externe, en charge d’une plateforme téléphonique de vente à distance. Ils avaient été saisis dans la zone des commentaires que peuvent renseigner les téléopérateurs — celle-là même où apparaissent aussi des commentaires illicites sur la santé ou les opinions réelles ou supposées d’un client.

CDiscount, qui précise qu’une telle méthode est contraire aux instructions données, a estimé que ces inscriptions « relèvent d’une dérive opérationnelle plutôt qu’une faille de sécurité ». Les opérateurs auraient dû saisir les numéros de carte et le cryptogramme dans le formulaire de paiement sécurisé, et non sur la zone de commentaires du CRM.

pas de nature à amoindrir la gravité du manquement

Mais la Cnil est restée insensible à l’argument de l’outsourcing, qui n’est « pas de nature à amoindrir la gravité du manquement et de ses effets, et ne saurait en aucune façon exonérer l’organisme de sa responsabilité ».

Elle constate que les champs dédiés aux commentaires étaient « dépourvus de mesures de sécurité particulières d’obfuscation ou tokenisation permettant de garantir la sécurité des données et d’empêcher que des tiers non autorisés y aient accès ». Ainsi, « l’accessibilité par l’ensemble des prestataires tiers externes à la société aux données bancaires des clients était susceptible d’entraîner une utilisation frauduleuse de ces données ».

Depuis, Cdiscount a supprimé toutes les informations, rappelé ses prestataires à l’ordre, et mis en place des contrôles automatisés de ses zones de commentaires, pour limiter les risques de récidives.

Partager sur les réseaux sociaux

Articles liés