FNAC Direct et Google dans le collimateur de la CNIL
La Commission Nationale de l'Informatique et des Libertés (CNIL) vient de demander à Google de mettre à sa disposition les données encore en sa possession récupérées illégalement lors de la constitution de son service Street View. L'organisme de contrôle rappelle par ailleurs à la société Fnac Direct qu'elle ne doit pas conserver les données bancaires de ses clients après un achat sur Internet.
PublicitéLorsque les « Google cars » ont commencé à photographier les rues des villes, un peu partout dans le monde, pour bâtir le service d'exploration urbaine Street View, la société dirigée par Larry Page a aussi récupéré des contenus personnels sur les réseaux WiFi, « par erreur » selon elle. Il s'agissait d'identifiants, de mots de passe, de données de connexion ou de courriels que Google a continué à collecter ensuite par l'intermédiaire des terminaux mobiles des utilisateurs qui se connectaient à son service de géolocalisation Latitude.
En France, cette situation a valu à Google une amende de 100 000 euros, infligée en mars 2011 par la formation contentieuse de la CNIL. Trois mois plus tard, la société américaine avait indiqué qu'elle détruisait ces données. Or, le 27 juillet dernier, elle a averti l'organisme français veillant au respect de la vie privée, ainsi que d'autres autorités européennes de protection des données, qu'elle possédait toujours une partie des contenus ainsi collectés. La CNIL vient donc de lui demander de les mettre à sa disposition et « de les conserver de manière sécurisée le temps de pouvoir mener toutes les investigations nécessaires ».
Fnac Direct conserve les données bancaires par défaut
Il y a quelques jours, la CNIL a par ailleurs dû rappeler à la société Fnac Direct, qui exploite le site fnac.com, que la conservation des données bancaires fournies par des clients au moment d'un achat sur Internet doit suivre des règles strictes. Le client doit avoir donné son accord et ses données ne peuvent être conservées que pour une durée limitée en respectant des règles de sécurité élevées.
Les contrôles effectués en février 2012 dans les locaux de Fnac Direct ont fait apparaître que les données bancaires étaient conservées par la société dans une même base, « en clair » : nom du titulaire de la carte bancaire utilisée pour effectuer la transaction sur le site, date de validité et, quelquefois, cryptogramme visuel. Le numéro de la carte y figurait « dans un format insuffisamment sécurisé », selon la CNIL qui explique que, « lors du contrôle, cette base comprenait les données relatives à plusieurs millions de cartes bancaires » en cours de validité ou bien ayant expiré et y figurant toujours.
La société Fnac Direct a indiqué à la CNIL qu'elle installait un système de traitement et de conservation des données bénéficiant d'un haut niveau de sécurité. Néanmoins, au regarde de ce qui a été constaté, la formation restreinte de la Commission Nationale de l'Informatique et des Libertés a décidé de prononcer un avertissement public à l'encontre de Fnac Direct. Elle a ajouté qu'elle était « susceptible d'opérer d'autres contrôles » dans le secteur du commerce électronique pour s'assurer que les droits des consommateurs étaient respectés.
Publicité
Article rédigé par
Maryse Gros
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire