La Commission nationale de l’informatique et des libertés annonce avoir mis en demeure l’entreprise française de e-commerce pour de nombreuses failles de sécurité ayant mis en danger les données de ses utilisateurs.
Mauvaise, très mauvaise passe pour le champion français du e-commerce à prix cassés, propriété du groupe Casino, qui est dans le collimateur de la Cnil.
"Depuis 2015, la Cnil a reçu 80 plaintes concernant la société CDiscount relatives notamment à des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés", annonce d’emblée le communiqué diffusé par le gendarme du Net ce mercredi.
Après une enquête, qui a notamment consisté en plusieurs missions de contrôle effectuées entre février et mars 2016, l’organisme indépendant en matière de régulation informatique a statué : l’entreprise française spécialisée dans la vente en ligne de produits électroniques et électroménager a gravement mis en péril la sécurité des données de ses clients.
En cause, le fait que Cdiscount ait notamment conservé dans une base de données "plusieurs millions de comptes d’anciens clients et prospects, sans aucune suppression ni limitation de durée", mais aussi "plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée", rapporte la Cnil. Cette dernière annonce ainsi avoir lancé à la société un avertissement public "pour défaut de sécurité". De son coté, CDiscount affirme avoir depuis supprimé toutes ces informations.
Fichage client et manque de clarté sur le traitement des données
Une seconde procédure, de mise en demeure cette fois, vise à mettre en lumière d’autres manquements à la loi de la part de CDiscount. Le communiqué rapporte que l'entreprise aurait mis en place un traitement de lutte contre la fraude à la carte bancaire sans l’autorisation de la CNIL, pourtant obligatoire.
Plus consternant, la société aurait également intégré dans sa base de données des commentaires pour le moins douteux sur ses clients, comme "a une maladie cardiaque" ou encore "client raciste". Là encore, CDiscount assure avoir pris des mesures pour éviter de nouveaux débordements du type en interne.
Intégré dans sa base de données, des commentaires douteux sur ses clients
On ne peut que faire le lien avec les scandales successifs qui avait impliqués les entreprises Boulanger en 2015, Foncia en 2011 et Acadomia cinq ans plus tôt. Il avait été découvert que toutes trois tenaient à jour des fiches clients dans lequelles figuraient plusieurs milliers d’annotations déclpacées ou scabreuses, du type "casse-couilles", "Parisien frustré" ou encore "gros crétin".
Mais la liste des anomalies relevées chez CDiscount par la Cnil est encore longue : "Enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société", "absence d’information des utilisateurs du site quant au traitement des données" ou encore "dépôt de cookie sans finalité déterminée" ont aussi été déplorés lors des fameux contrôles de l'hiver 2016.
CDiscount déjà dans le viseur des internautes
Sur les réseaux sociaux ou sur des forums spécialisés, de très nombreux commentaires font également état de défaillances régulières dans les livraisons ou de la qualité déplorable du service client de la société. Pas plus tard qu'hier, sur la plate-forme de blogging Medium, le fondateur du site tech Frandroid Ulrich Rozier racontait lui aussi sa désagréable expérience après une commande passée sur CDiscount.
Mise à jour de 18h53 : Alors que nous avons contacté CDiscount dans l'après-midi, la réaction de la société se fait toujours attendre.
Mise à jour du 20 octobre à 12h15 : CDiscount n'a finalement pas souhaité répondre à notre demande de réaction.
Quelque chose à ajouter ? Dites-le en commentaire.