La Cnil annonce avoir clôturé la mise en demeure contre Cdiscount. La plateforme commerciale a en effet pris plusieurs mesures pour se mettre en conformité avec la loi, notamment sur la façon dont elle traite et sécurise les données bancaires de ses clients.

Cdiscount rentre enfin dans le rang. Mise en demeure par la Commission nationale de l’informatique et des libertés (Cnil) au mois de septembre 2016 pour une série de manquements à la gravité variable, la plateforme commerciale a fini par se mettre en conformité avec la loi Informatique et Libertés.

Dans un communiqué publié jeudi 4 mai, l’autorité chargée de veiller sur la protection des données personnelles indique avoir clôturé la mise en demeure visant Cdiscount, permettant à la boutique d’éviter de subir le déclenchement d’une procédure de sanction. Procédure qui aurait pu aboutir à une amende très salée.

« Les courriers de réponse de la société Cdiscount ont permis de démontrer que les manquements relevés avaient tous cessé », écrit la Cnil. « La société a, en effet, adopté de nombreuses mesures afin de se mettre en conformité avec les injonctions de la mise en demeure », poursuit-elle.

Sept grandes mesures au total ont été prises Cdiscount.

Meilleure gestion des données bancaires

Plusieurs d’entre elles portent sur le traitement des données bancaires, avec le dépôt d’une demande d’autorisation pour le traitement de la lutte contre la fraude à la carte bancaire, le recueil du consentement individuel pour la conservation des données bancaires, et surtout le renforcement la sécurité liée à l’enregistrement des coordonnées bancaires dans la base de données, plus la mise en place d’une durée de conservation proportionnée des données.

Le jour de la mise en demeure, la Cnil avait rappelé que lors d’un contrôle opéré le 11 février 2016, elle avait constaté que plus de 4 100 numéros de carte bancaire avaient été conservés par Cdiscount, dont un peu plus de la moitié était encore valide avec leur cryptogramme visible en clair. La plateforme avait blâmé un prestataire externe, dont les agents n’auraient pas pas suivi les règles de sécurité pour manipuler ces informations.

Cdiscount a adopté plusieurs mesures pour se mettre en conformité avec la mise en demeure de la Cnil

La Cnil ajoute, dans des termes très mesurés, que la boutique a aussi « mis en place un système de détection automatique des commentaires excessifs ». les contrôles avaient en effet mis en lumière l’existence de commentaires illicites écrits dans une base de données par des employés au sujet des clients (« client raciste », « a une maladie cardiaque », …).

Enfin, Cdiscount a amélioré l’information des personnes concernant la collecte de leurs données personnelles, renforcé l’information sur les cookies et les moyens de s’opposer à leur dépôt, déployé une procédure de vérification quotidienne des demandes de désabonnement aux newsletters, et amélioré le recueil du consentement pour tout envoie de prospection commerciale.

Partager sur les réseaux sociaux