La CNIL vient de prononcer à l'encontre de Cdiscount, une sanction et une mise en demeure pour exploitation abusive des informations personnelles de ses utilisateurs.
Totalisant plus de 80 plaintes depuis 2015, la Commission s'est livrée à une vaste enquête entre février et mars 2016, à l'issue de laquelle elle a adressé au site marchand un avertissement public, du fait de manquements graves portant sur la sécurité des données. Elle a, en effet, la faculté de rendre publiques les mesures disciplinaires qu’elle prononce, la publication constituant en elle-même une sanction complémentaire.
Le site a également été mis en demeure pour une longue liste de manquements à la loi :
- la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation ; - la présence de commentaires non pertinents dans sa base de données, tels que client a une maladie cardiaque, client raciste… ; - l’enregistrement des coordonnées bancaires de clients lors d’appels reçus ; - l’absence d’information des utilisateurs quant au traitement de leurs données ; - l’absence de consentement des personnes à la conservation de leurs données bancaires et/ou à l’envoi de prospection commerciale électronique ; - le dépôt de cookie sans finalité déterminée et sans information des personnes quant à leurs droits, pour des durées excessives (30 ans) ; - le défaut de politique de sécurité pour les mots de passe.
L'entreprise dispose de trois mois -renouvelables une fois- pour se mettre en conformité vis à vis de ces points.
Concernant ce genre de pratique, il est possible d'interroger directement les sociétés susceptibles de détenir de telles informations sur les modalités de collecte et conservation. A défaut de réponse, vous pouvez déposer une plainte au près de la CNIL.
