[Brève] La CNIL clôture le cas CDiscount

En octobre dernier, CDiscount a reçu un avertissement publique de la CNIL pour des infractions sur la conservation de données. Mais d'autres sujets étaient encore en cours d'investigation à la CNIL.

Ainsi, les contrôles en 2015 avaient constaté :

• la mise en oeuvre d'un traitement de lutte contre la fraude bancaire sans autorisation
• la présence de commentaires non pertinents (client av maladie cardiaque, client raciste...)
• enregistrement des coordonnées bancaires lors d'appels reçus par la société
• absence d'informations des utilisateurs du site quant au traitement de leurs données
• absence de consentement des personnes à la conservation de leurs données bancaires et à l'envoi de prospections électroniques
• le dépôt de cookies sans finalité déterminée, sans information des personnes quant à leurs droits et pour des durées excessives (30 ans)
• le défaut de politique de mots de passe suffisamment robustes

La CNIL a mis en demeure CDiscount de se conformer à la loi dans les 3 mois.

CDiscount a ainsi :

• mis en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires dans sa base de données
• intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospections commerciales électroniques
• amélioré l’information des personnes concernant la collecte de leurs données personnelles
• défini des durées de conservation proportionnées des données
• renforcé l’information relative aux cookies et les moyens de s’opposer à leur dépôt («tag management»)
• déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire
• déployé une procédure de vérification quotidienne des demandes de désabonnement à des Newsletter

La CNIL clôt le dossier de l'année 2015.