RAPPEL A L'ORDRE - La CNIL a procédé, fin septembre, à une mise en demeure de Cdiscount. Dans son viseur ? De nombreux dysfonctionnements dans la sécurité des données, et de bien étranges annotations au sein des fichiers clients de la chaîne de magasins.
Les conclusions du gendarme de la vie privée sont sévères. La CNIL (Commission nationale de l'informatique et des libertés) a prononcé les 20 et 26 septembre derniers une mise en demeure ainsi qu'un avertissement public à l'encontre de la société Cdiscount. La raison ? "De graves manquements portant notamment sur la sécurité des données".
Tout commence en 2015. Suite à la divulgation de données personnelles consécutive à une défaillance technique, la CNIL receptionne soudainement près de 80 plaintes contre le distributeur de produits technologiques. Une série de contrôles, visant à vérifier le respect des dispositions de la loi Informatique et Libertés chez Cdiscount, est alors mise en place. Et ce qu'elle révèle à de quoi embarrasser la chaîne de magasins.
"Client a une maladie cardiaque"
D'abord, les contrôleurs de la CNIL remarquent que les données de plusieurs millions d'anciens clients sont conservées dans les bases informatiques de la chaîne, sans limitation de durée. Par ailleurs, ce sont plus de 4000 données bancaires non sécurisées qui figurent également dans ses fichiers. Pour ces raisons, la CNIL estime que Cdiscount "n'a pas mis en œuvre les moyens suffisants pour assurer la sécurité des données personnelles des clients"( la société a toutefois depuis pris des mesures pour remédier à la situation).
Mais ce sont surtout des commentaires étranges qui ont attiré l'attention des contrôleurs, au sein de ces mêmes fichiers. On retrouve ainsi, dans la base de production de la filiale de e-commerce de Casino, des annotations telles que "client super chiant", "client imbécile", "client raciste", "client a une maladie cardiaque". Ou encore "client souhaite recevoir sa commande car sa mère est diabétique et elle n'a pas de réfrigérateur pour son médicament". Des précisions jugées "non pertinentes" par la CNIL, qui a au total mis en demeure Cdiscount de corriger une dizaine de manquements. Sa décision (consultable ici) implique que la société se conforme à la loi dans un délai de trois mois. Auquel cas, aucune sanction ne lui sera appliquée.