A l’origine de l’enquête de la CNIL, 80 plaintes déposées depuis 2015, « relatives notamment à des défaillances techniques ayant entrainé la divulgation de données à des tiers non autorisés », explique la Commission sur son site internet. Les missions de contrôle, entre février et mars 2016, ont effectivement mis en évidence chez Cdiscount des défauts de sécurisation des données. La « particulière gravité » des faits a convaincu la présidente de la CNIL d’engager une procédure de sanction, avec avertissement public, et cela bien que le site ait mis en œuvre, depuis, « des mesures correctives ».
La liste des manquements reprochés au site de e-commerce, qui revendique 2 millions de visiteurs et 85.000 ventes par jour, est assez longue. Parmi eux, plusieurs concernent les conditions de recueil et de conservation des données bancaires de ses clients. Cdiscount, explique la CNIL, « n’a pas mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients en conservant en clair » plus de 4.000 numéros de cartes bancaires, « associées pour [certains] à des cryptogrammes visuels ».
Le site web est également mis en demeure de corriger, dans un délai maximum de trois mois reconductible une fois, d’autres manquements à la loi. Cdiscount a notamment mis en œuvre « un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL ». Il a aussi enregistré des coordonnées bancaires à l’occasion d’appels téléphoniques, et conservé des données bancaires de clients sans avoir recueilli en amont leur consentement.
Mise à jour (4 mai 2017, 14h) - Dans un communiqué daté du 4 mai 2017, la CNIL fait savoir que la mise en demeure publique à l’encontre de Cdiscount est « clôturée », l'enseigne s'étant mise en conformité.
