Le cybermarchand est épinglé pour de graves manquements en matière de protection des données. Cela comprend la conservation de données, des commentaires désobligeants, des cookies à 30 ans ou la présence de données bancaires en clair.
Bon anniversaire ! Le lendemain de ses 18 ans, Cdiscount est en droit d'afficher une gueule de bois. La Commission nationale informatique et libertés (CNIL) a officiellement mis en demeure, et sanctionné par un avertissement public, le marchand pour de nombreux problèmes dans le traitement des données des internautes qui passent par son site, comptant « deux millions de visiteurs et 85 000 ventes par jour ».
Dans le flot de ces points noirs, quelques uns ont été particulièrement retenus. Pour ceux-là, Cidscount a été sanctionné par un avertissement public (PDF), sûrement la pire des sanctions pour un e-commerçant surtout à quelques encablures de Noël. Sont particulièrement mis au déshonneur, la conservation des données de millions d'anciens clients, sans limite de durée, et la conservation de plus de 4 000 données bancaires, « de manière non sécurisée ». « Si depuis, la société a mis en place des mesures correctives, cette sanction publique est néanmoins justifiée en raison de la nature et du nombre de données en cause » note la commission dans son communiqué.
Depuis 2015, la CNIL indique avoir reçu 80 plaintes de clients, notamment sur la divulgation (accidentelle) de données « à des tiers non autorisés ». Plusieurs contrôles ont été effectués en février et mars, révélant des problèmes graves dans plusieurs domaines.
Des données nombreuses, des mots de passe courts
En matière de données d'identification et de coordonnées, la charge est lourde. Le formulaire d'inscription ne contient pas de case permettant de consentir à l'envoi de prospection commerciale, activée par défaut. Il n'informe pas non plus sur le traitement de données personnelles.
La page de modification des informations, dans l'espace client, ne mentionne pas l'identité du responsable de traitement, sa finalité, si les données sont obligatoires ou facultatives, ou encore le droit d'opposition de l'internaute à ce traitement. Plus globalement, les formulaires qui permettent de collecter des données ne mentionnent pas que c'est le cas. En cas de suppression de compte, les nom, prénom et adresse email sont supprimés, mais la date de naissance et l'adresse postale sont conservées. Elle garde également la demande et les pièces d'identité dans son application-métier.
Les mots de passe, eux, sont jugés trop faibles par la commission. Ils sont composés au minimum de cinq caractères, « 123456 » fonctionnant. Certains sont conservés en clair, note le gardien des données personnelles. Cdiscount a annoncé à la commission avoir un projet pour le premier semestre, visant à augmenter ce seuil à huit, dont des lettres, des chiffres et au moins un caractère spécial.
Un client, jamais inscrit aux newsletters de Cdiscount, en a pourtant reçu certaines. L'explication : le site dispose de deux bases de newsletters, l'une comprenant l'état des abonnements à ces listes, l'autre servant à l'envoi effectif des emails. Ces bases synchronisées quotidiennement ont subi un dysfonctionnement dans le cas du plaignant.
Enfin, les agents ont signalé la présence de « commentaires non pertinents » sur les clients dans la base de données, allant d'informations personnelles à des insultes. « Clt » et « Clte » correspondent à client ou cliente.
En parallèle de la mise en demeure, la CNIL a donc prononcé une sanction à cause de la conservation de données de clients et prospects, qui n'ont pas validé de commande depuis plus de trois ans, ou ont créé un compte à cette période, mais n'ont jamais validé de commande. Cdiscount a expliqué avoir un projet, pour cette année, qui fixe avec de nouvelles durées de conservation des données, qui doivent être purgées ou anonymisées par la suite.
Qui veut des cookies ?
Le cybermarchand reçoit aussi bien des reproches sur sa gestion des cookies. En entrant sur le site, la CNIL a constaté l'enregistrement de 50 cookies sur le terminal, sans la moindre action de l'internaute, qui n'a donc pas consenti à ce dépôt. Seuls les fichiers techniques, essentiels au fonctionnement du site, doivent normalement être fournis dans ce cas. Cdiscount a affirmé que certains de ces 50 cookies servent à la publicité.
Certains ont également une durée de vie de 30 ans, contre une limite légale de 13 mois. Cdiscount a en outre indiqué à la CNIL ne pas connaître la finalité de trois de ces cookies, alors qu'elle est censée en informer l'utilisateur.
Plus généralement, l'internaute n'est pas informé des manières de s'opposer à leur dépôt. Cdiscount évoque bien le paramétrage du navigateur pour refuser les fichiers en question, mais la CNIL ne considère pas qu'il s'agit « [d']un mécanisme valable d'opposition ».
Plus de 4 000 données bancaires en clair, et en pagaille
Mais les soucis les plus flagrants concernent, sans conteste, les données bancaires. Un second point concerné par la sanction par avertissement public. Via le « paiement flash », activé automatiquement par Cdiscount, les numéros de la carte sont retenus au paiement d'une première commande. L'utilisateur n'a pas le choix de le désactiver, mais peut les supprimer dans son espace client. Pour l'entreprise, il s'agit officiellement de faciliter les commandes ultérieures. Reste, pour la CNIL, que Cdiscount n'a pas le droit de conserver les données bancaires au-delà du traitement de la commande en cours, sans le consentement de l'utilisateur.
Lors d'une visite le 11 février, les agents de la commission ont surtout trouvé 4 179 numéros de cartes bancaires en clair dans les champs commentaires de sa base de données, « dont certaines encore valides ». Pour 3 000 d'entre eux, le cryptogramme visuel était aussi présent, également en clair, dont ceux de 2 104 cartes encore valides au moment du contrôle. Des numéros tronqués, expirés en 2011, ont aussi été trouvés.
Pour sa défense, le cybermarchand a affirmé que l'inscription de ces données bancaires était le fait d'un prestataire, dans le cadre de la vente par téléphone, les laissant accessibles à l'ensemble des autres prestataires accédant à la base de données. Elle évoque « une dérive opérationnelle », plutôt qu'une faille de sécurité. Le prestataire n'aurait pas respecté les instructions de la société, qui a rapidement corrigé le tir après le passage de la CNIL, avec suppressions des données, envoi des règles aux prestataires et vérification automatique des champs en question. Pour la commission, cela n'enlève rien à la responsabilité du site marchand.
Cdiscount applique en outre un traitement automatisé des cartes bancaires pour la lutte contre la fraude, sans aval de la CNIL. Un oubli qui peut être puni d'une amende, allant jusqu'à 1,5 million d'euros. Enfin, un prestataire téléphonique du cybermarchand a enregistré les numéros d'une carte d'un client. Un système automatisé, censé éviter cette conservation, n'aurait pas fonctionné. Sur trois conservations écoutées par la CNIL, une contenait ces données.
Un peu plus de deux mois pour régler tous les problèmes
Cdiscount a été notifié fin mai par la CNIL, et convoqué à une réunion de la formation restreinte de la commission fin juin. Dans sa décision datée du 26 septembre, l'autorité laisse trois mois à l'entreprise pour combler toutes les failles de son système, à savoir :
se plier aux formalités pour lancer un traitement automatisé de données, notamment pour son système de lutte contre la fraude, donc le signaler à la CNIL ;
cesser de traiter « des données inadéquates, non pertinentes ou excessives », dont éviter l'enregistrement de commentaires excessifs (avec détection automatique et sensibilisation des employés) et empêcher celui des données bancaires lors des appels ;
demander le consentement des clients pour conserver leurs données bancaires ;
informer correctement les internautes sur leurs droits liés aux données ;
permettre aux internautes de connaître les cookies déposés sur leur navigateur et de s'opposer à ce dépôt ;
mettre en œuvre une politique de conservation des données, en limitant la durée de vie des cookies à 13 mois et en ne conservant pas les demandes de suppression de comptes ;
mieux sécuriser le site, notamment en imposant des mots de passe sûrs aux clients ;
permettre aux clients d'appliquer leur droit d'opposition ;
ne pas envoyer de prospection commerciale sans le consentement de l'internaute.
Si tout n'est pas réglé d'ici trois mois, un rapporteur pourra demander de nouvelles sanctions à l'encontre de la société. Si Cdiscount respecte ces demandes, aucune poursuite ne sera engagée par la commission.
merci à NextInpact
