mercredi 18 janvier 2017
 

Données bancaires: Cdiscount sanctionné pour défaut de sécurité

La Commission nationale de l'informatique et des libertés (Cnil) a sanctionné mercredi la plateforme de commerce en ligne Cdiscount pour défaut de sécurité de données bancaires et l'a mise en demeure pour d'autres "manquements graves".

Un employé de Cdiscount à Cestas (Gironde) le 14 décembre 2012

La Cnil a décidé "en raison de la gravité particulière des manquements constatés" d'engager une procédure de sanction contre la filiale de Casino sous la forme d'un "avertissement public", explique-t-elle dans un communiqué.

Cdiscount a conservé plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de façon non sécurisée. 

Ces informations issues de l'activité de vente par téléphone de Cdiscount étaient conservées en clair dans un champ commentaire de sa base de données, ce qui les rendait potentiellement accessibles à des prestataires externes. La société a aussi conservé plusieurs millions de comptes d'anciens clients et prospects pendant une durée excessive.

Ces deux manquements à la loi Informatique et Libertés ont débouché sur un avertissement, même si la société a depuis remédié à la situation. La Cnil a aussi mis en demeure Cdiscount de corriger une dizaine de manquements dans un délai de trois mois.

- Commentaires non pertinents -

Les contrôles ont ainsi permis de révéler des pratiques de lutte contre la fraude à la carte bancaire non autorisées par la Cnil et la présence de commentaires non pertinents dans la base de données tels que: "client a une maladie cardiaque", "client raciste", etc.

La Cnil a aussi noté que des coordonnées bancaires de clients avaient été enregistrées lors d'appels téléphoniques reçus par la société et que Cdiscount avait conservé les données bancaires de ses clients, sans leur demander leur consentement.

Enfin, la Cnil a tancé Cdiscount pour le dépôt de cookies (fichiers enregistrant la navigation de l'internaute) pendant des durées excessives, pouvant aller jusqu'à 30 ans, et une politique de mots de passe pas assez robustes.

Dans un communiqué publié mercredi soir, Cdiscount indique qu'une enquête interne a "montré que ces dysfonctionnements étaient limités à un seul centre d'appels auquel il a retiré l'activité depuis plusieurs mois. Dans le même temps, des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles", affirme-t-il.

Le groupe souligne que "ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge inadmissibles et comprend qu'elles aient pu choquer", évoquant notamment des "commentaires inadaptés".

Il précise cependant qu'"aucune faille de sécurité n'a été relevée" concernant les mots de passe des clients, et que le renforcement de leur complexité, demandé par la Cnil, "est effectif depuis mars dernier".

La Cnil a indiqué avoir reçu 80 plaintes depuis 2015 contre Cdiscount concernant des défaillances techniques qui ont entraîné la divulgation de données à des tiers non autorisés. Elle a effectué plusieurs missions de contrôle entre février et mars 2016.

Cdiscount, qui appartient au groupe Casino, a réalisé un chiffre d'affaires de 2,7 milliards d'euros en 2015.

Source : AFP

Noter cet article (de 1 = Nul à 5 = Excellent) Valider
/// Actuellement à la Une...
Les qualités de l’École 42 sont indéniables, celles des autres écoles du classement aussi. Pourtant, certains sont allés un peu vite en besogne en déclarant, palmarès à l’appui, qu’il s’agit de la meilleure école de code au monde.

La pépinière géante au cœur de Paris a reçu un soutien de poids : Facebook. Sheryl Sandberg a annoncé ce matin que le géant participerait à l’initiative en installant dans la halle un incubateur, destiné aux start-up spécialisées dans la data.

Vous pouvez d’ores et déjà savoir, à partir de vos revenus de l’année 2016, quel sera le montant de « la douloureuse » pour 2017…


Le géant du e-commerce s’est adressé à la FCC afin d’obtenir l’autorisation de tester des « dispositifs » sur différentes bandes de fréquences. Il semble qu’Amazon cherche désormais les fréquences les plus adaptées à son service de livraison par drones.

Directeur général de l'autorité de régulation des communications depuis 2013, Benoît Loutrel va rejoindre les rangs de la filiale française de Google en tant que directeur des affaires publiques.

Une journée très variée avec la rencontre d’entreprises de toutes tailles comme Nec ou Minio et une parenthèse chez Primary Data, une vieille connaissance de l’IT Press Tour.

L’adjointe au maire en charge de l’éducation à Bordeaux, Emmanuelle Cuny, évoque une attaque « sans précédent ». On ne connaît pas encore la nature exacte de celle-ci, qui ressemble toutefois à un ransomware. 

L’opérateur dévoile (enfin !) un nouveau modèle de box destiné à ses abonnés xDSL et FTTH. Le nouveau boîtier se veut compact, performant et unifie l’interface avec celle de l’application SFR TV. 

L’éditeur a présenté un navigateur conceptuel. Baptisé Neon, il propose une interface complètement repensée et intègre surtout des fonctions pratiques et intéressantes au quotidien. 

Un rapport adopté par la commission des affaires juridiques du Parlement européen demande la mise en place d’un cadre légal au niveau européen sur les droits des robots.

Toutes les News
Derniers commentaires