Juridique

Cdiscount gravement mis en cause par la CNIL

Le site Cdiscount indique compter environ 2 millions de visiteurs et 85.000 ventes par jour, ce qui a poussé la CNIL à avertir le public des manquements.

Mépris des droits des consommateurs et des règles de sécurité élémentaires : la CNIL a habillé Cdiscount pour l'hiver avant même les soldes.

PublicitéEst-ce que Cdiscount fait quelque chose correctement ? A voir la longue liste à la Prévert de manquements dressée par la CNIL (Commission Nationale Informatique et Liberté), on peut en douter. Pourtant, du moins pour l'instant, l'autorité administrative indépendante n'adresse au site e-commerce qu'un avertissement et une mise en demeure. L'avertissement public est définitif et clôt les incidents concernés (en nuisant un peu au chiffre d'affaires), la mise en demeure fera, elle, l'objet d'un suivi d'exécution et les manquements constatés pourront, le cas échéant, être sanctionnés s'ils ne sont pas corrigés. Mises à part la mauvaise publicité et certaines obligations de mise en conformité, le site e-commerce, qui revendique 2 millions de visiteurs et 85.000 ventes par jour, s'en sort donc à bon compte, bien loin des amendes considérables encourues.

L'avertissement public concerne deux manquements. Le premier est un manque de sécurité du stockage des numéros de cartes bancaires des clients, stockés en clair dans la base de données. Un simple piratage de la dite base de données suffit donc à récupérer ces numéros de cartes bancaires directement exploitables. Le second est la conservation trop longue de données trop anciennes de clients et prospects. Bref, la société ne nettoie pas ses données régulièrement.

La mise en demeure vise des comportements illégaux qui doivent évoluer sous le contrôle de la CNIL. Ces fautes concernent là encore les droits des consommateurs vis-à-vis de leurs données : commentaires insultants dans la base de données, registre non-autorisé visant à prévenir des fraudes à la carte bancaire, conservation non-autorisée de données clients, prospection non-autorisée (spamming), cookies imposés avec une durée de conservation de trente ans (!!!)... Une précaution de sécurité est également pointée : l'absence de politique suffisamment sévère quant à la sûreté des mots de passe.