Avec plus de 7,7 millions de visiteurs uniques par mois au premier trimestre 2011, selon les données de la Fevad, le site de la Fnac est l'un des acteurs majeurs du commerce électronique en France. De ce fait, il n'est pas anormal d'attendre de la chaîne de magasins un haut niveau de sécurité pour assurer l'intégrité des paiements en ligne ainsi que la protection des informations personnelles.
Or, la Commission nationale de l'informatique et libertés a adressé un avertissement "en raison de manquements dans la conservation des données bancaires des clients", suite à plusieurs contrôles survenus en février dans les locaux de Fnac Direct, qui s'occupe du site web de la société. Et parmi les manquements relevés par l'autorité administrative indépendante se trouvent des conditions de sécurité insuffisantes.
La Fnac "conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte et, parfois, le cryptogramme visuel, et dans un format insuffisamment sécurisé, le numéro de la carte. […] Cette base comprenait les données relatives à plusieurs millions de cartes bancaires en cours de validité ou dont la durée de validité avait expiré, sans qu’elle n’ait fait l’objet de purge ou d’archivage".
780 000 cryptogrammes enregistrés
Dans sa délibération (.pdf), la CNIL a pris soin de barbouiller les principales informations chiffrées. Mais il apparaît notamment en page huit que 780 000 cryptogrammes ont été enregistrés dans la base. Si "la conservation du cryptogramme visuel doit être considéré comme légitime dans le laps de temps" nécessaire à la transaction, ce stockage doit normalement être provisoire.
La CNIL souligne toutefois que les lacunes relevées lors du contrôle n'ont manifestement "pas porté préjudice aux clients". Aucun piratage de grande ampleur impliquant la Fnac ne s'est en tout cas produit. En réaction, la Fnac dit néanmoins avoir installé un "système de traitement et de conservation des données caractérisé par un haut niveau de sécurité".
Au-delà de la sécurisation des informations bancaires, la CNIL a mis en avant l'insuffisance de l'information délivrée au client en matière de conservation des données. L'autorité a rappelé "que la conservation des données bancaires au-delà de la réalisation d'une transaction ne peut se faire, en principe, qu'avec le consentement préalable de la personne concernée".
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
