Cdiscount et la CNIL

34
19 octobre 2016
Un article de presse du Monde aujourd'hui

CDiscount mis en demeure par la CNIL

Le gendarme de la vie privée a constaté de nombreux manquements graves dans la manière dont l’entreprise stocke les données de ses clients.

LE MONDE | 19.10.2016 à 15h43 • Mis à jour le 19.10.2016 à 16h04
Réagir
Ajouter

Partager Tweeter

Un « avertissement public » pour des « manquements graves » : la Commission nationale de l’informatique et des libertés a mis en demeure mercredi 19 octobre la société CDiscount de corriger plusieurs problèmes importants dans la manière dont elle gère ses fichiers clients.

Le gendarme de la vie privée a relevé plusieurs problèmes liés à la sécurité des informations collectées, des manquements à la loi (conservation des données pendant trente ans, stockage d’informations bancaires sans le consentement des personnes...) et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »).

CDiscount dispose de trois mois pour corriger ces différents problèmes, faute de quoi l’entreprise risque une amende. Les mises en demeure publiques de la CNIL sont plutôt rares – le gendarme de la vie privée explique avoir choisir de rendre la procédure visant CDiscount publique « en raison de la quantité des manquements constatés et du volume potentiel de personnes concernées ».

  1. Blabla
Groupes
  1. Blabla
34 commentaires

Ah c'est moche

Banni

a quand sfr et leur partenaires certissim ??
le meilleur reste amazon

et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »)
Ça rappelle l'affaire Boulanger.

c cdicount le meilleur service client sur terre

Les données bancaires et les cryptogrammes visuels stockés en clair... Mais quel scandale...

Mr0

Les données bancaires et les cryptogrammes visuels stockés en clair... M … Les données bancaires et les cryptogrammes visuels stockés en clair... Mais quel scandale...


Heureusement, il y a Paypal et les e-cartes bleues.

Je vais poser ça là.

clients.cdiscount.com/Inf…spx

Trolldiscount

La plateforme de paiement sécurisé Cdiscount est certifiée PCI DSS par Vi … La plateforme de paiement sécurisé Cdiscount est certifiée PCI DSS par Visa et MasterCard dans le but de sécuriser les données de carte bancaire. La certification PCI DSS est accordée par un organisme indépendant qui audite Cdiscount chaque année.



Trollsdicount

Communiquer votre numéro de carte bancaire sur notre site est entièrement … Communiquer votre numéro de carte bancaire sur notre site est entièrement sécurisé. En revanche, il est possible qu'une personne malveillante parvienne à se procurer votre numéro de Carte bancaire (par exemple en cas de vol), et l'utilise pour passer une commande à votre insu. C’est donc pour optimiser la sécurité des paiements effectués sur Cdiscount que nous procédons, de façon aléatoire, à des contrôles FIA-NET.

fetalai

et a aussi relevé la présence de « commentaires non pertinents dans la ba … et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »).



Sur quoi cdiscount se base pour faire ce type de mention ?

Je leur ai, il n'y a pas si longtemps, collé un contrôle CNIL dans les pattes. Malgré une prise à la légère de ce genre d'action par CDiscount il y a un juste retour des choses derrière. Ca leur servira de leçon.

Si seulement ça "servait de leçon".

Pour que ça soit le cas, faudrait autant de plaintes individuelles que de manquements (pour les jugements de valeur notés sur les clients, par exemple), avec des sanctions à la clé.

Là on leur dit juste "vous jouez avec le pognon des autres, avec leur sécurité, vous émettez des jugements de valeur, vous faites n'importe quoi, vous êtes complétement irresponsables => c'est pas bieeeeen |o . Vous avez x mois pour faire semblant de changer, sinon on va se fâcher tout rouge".

Est-ce que sur la route, quand tu te fais flasher, tu reçois un courrier pour te dire "t'as 3 mois pour ralentir, sinon t'auras une amende" ?

Mr0

Les données bancaires et les cryptogrammes visuels stockés en clair... M … Les données bancaires et les cryptogrammes visuels stockés en clair... Mais quel scandale...


Untypcool

Heureusement, il y a Paypal et les e-cartes bleues.


Non, PayPal ne fonctionne pas forcément... La cartes bancaire virtuelle (ECB ou le service d'E-CarteBleue) non plus d'ailleurs... Ni le 3DS car cela ne se charge rien (cf cette image :http://nsa37.casimages.com/img/2016/10/19/161019080317399899.png).

À l'occasion, il m'est arrivé de lire les déboires des clients sur Dealabs (LaFourmillière etc). C'est Cdiscount qui est à l'origine de ce(s) problème(s) car les clients ont bien renseigné les bonnes informations... Donc, aucuns de ces 2 services (PayPal comme la e-cartebleu) ne devrait présenter de problème. À moins que cela soit une note... C'est assez détestable mais le service client est digne de sa mauvaise réputation ainsi que de son incompétence. Nous avons eu un petit bon exemple hier avec la remise de 18% sur l'informatique dont ils ignoré même l'existence (etc)...
Et non, le service client fut incapable de l'admettre, ni de résoudre ce(s) problème(s). Ils n'ont surement jamais fait remonter le problème au bon service... car ces problèmes se manifestent uniquement sur Cdiscount et encore à ce jour.
D'après une banque, ce serait le système anti-fraude de Cdiscount ou alors un excès de zèle (de trop, surcharge) dans la sécurité (notamment via le 3DS ou le 3DSecure etc) qui empêche leur bon fonctionnement.

Petit communiqué de Cdiscount sur cette affaire pour ceux que ça intéresse :
https://pbs.twimg.com/media/CvJQ4giWYAEzVCp.jpg
(Publié sur Twitter : twitter.com/Cdi…184)

Communiqué auquel on est pas obligé de croire perso j'ai lu que le début mais ça m'a suffit ^^

Le communiqué mentionne le pb avec la conservation des données de cartes bancaires mais n'indiquent pas les solutions apportées. Ça n'a rien à voir avec le prestataire centre d'appel

Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait jamais ^^
J'avais payé par carte bancaire vu que Paypal ne fonctionnait pas via l'application, je viens de me rendre compte que Cdiscount avait enregistré mes numéros de carte bancaire, date d'expiration, en me rendant dans "mon compte" "Mes moyens de paiement"

Jennessee

Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait … Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait jamais ^^J'avais payé par carte bancaire vu que Paypal ne fonctionnait pas via l'application, je viens de me rendre compte que Cdiscount avait enregistré mes numéros de carte bancaire, date d'expiration, en me rendant dans "mon compte" "Mes moyens de paiement"


Tu peux aussi supprimer les paiements pré-approuvés dans ton interface paypal (si pas déjà fait), sinon cdiscount garde le libre accès à ton compte.

brok

Sur quoi cdiscount se base pour faire ce type de mention ?


N'oublies pas que cdiscount ( bien qu'étant une entité indépendante ), fait partie intégrante de la grande famille du Groupe Casino!
Or, quand vous ( essayez ) de faire le tour de toutes les sociétés qui font " partie " de ce groupe, on trouve tout aussi bien les supermarchés/hypermarchés ... que la Banque Casino qui a changé plusieurs fois de nom ces 20 dernières années ( ex-Cofinoga, ex-Carte C, ex-.... ), et que les banques délivrent ( ou pas ) des crédits, des assurances, ect.
Mais, même si tu y fais une demande de crédit, par exemple pour acheter une nouvelle voiture, un simple crédit à la consommation, un regroupement de crédit, ect .. même si cette opération t'es finalement refusée, il aura fallu que tu transmette tout un tas d'informations pour qu'ils " étudient " ton dossier, et que ces informations que tu leur a ( gracieusement ) fournies viennent grossir leurs bases de données à ton sujet ( et surtout à ton insu )!!

Alors, entre " cousins ", puisqu'ils sont parties intégrantes du même Groupe, faut pas s'étonner que les données que tu as transmises d'un côté soient exploitées/utilisées par une autre entité du Groupe.

Toi, tu estimeras que c'est de l'abus de confiance, mais pour eux ( les financiers ) c'est plutôt perçu comme une protection qui leur " évite une partie du risque " ... de ne jamais revoir leur pognon!!

De toute façon, les cgv te disent que tu peux, à tout moment, avoir accès aux informationsqui te concernent chez eux ( ca, c'est la Loi ), .... mais il te sera impossible de pouvoir prouver qu'ils ne cachent pas d'autres informations!!

Jennessee

Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait … Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait jamais ^^



Ca ne changera pas grand chose vu qu'ils conservent les données même lorsqu'on n'est plus client

facile de traiter de raciste qd t'as des gens avec un très fort accent arabe qui captent rien de ce que tu leur dit et/ou qui te raccrochent au nez, t'façon ici sur DL on est tous dans leur ficher des pète-bonbons ^^

J'ai tout simplement arrêté cdiscount quand je me suis rendu compte que c'était des boulets. Service client déplorable et leur histoire de contrôle de paiement FIANET, ils m'ont eu une fois, pas deux !

@Tibal26
Oui, aujourd'hui il ne s'agit que du volet financier du paiement, mais il y a aussi le service client qui est vraiment
nul de chez nul. Dans la réponse de Yoap, ils affirment que c'est une société externe qui à commis tous ces délits.
Mais pourquoi cette société se serait mise en infraction et aurai fait un travail supplémentaire si ce n'est pour
satisfaire les demandes de Cdiscount ? Alors qu'ils n'accusent pas les autres, c'est chez eux qu'il y a de graves
dysfonctionnements. L'année dernière ils étaient 19eme sur 20 pour la qualité de leur service client, cette année
ils postulent pour la vingtième place. Leur direction sait tout cela et ne fait rien pour que cela change. Leur réservoir
de client est tellement grand que cela ne les dérange pas, un client mécontent de perdu, c'est cent autres de
retrouvé, et tant que ça marche on continue !

Picsinf

@Tibal26Oui, aujourd'hui il ne s'agit que du volet financier du paiement, … @Tibal26Oui, aujourd'hui il ne s'agit que du volet financier du paiement, mais il y a aussi le service client qui est vraimentnul de chez nul. Dans la réponse de Yoap, ils affirment que c'est une société externe qui à commis tous ces délits.Mais pourquoi cette société se serait mise en infraction et aurai fait un travail supplémentaire si ce n'est poursatisfaire les demandes de Cdiscount ? Alors qu'ils n'accusent pas les autres, c'est chez eux qu'il y a de gravesdysfonctionnements. L'année dernière ils étaient 19eme sur 20 pour la qualité de leur service client, cette annéeils postulent pour la vingtième place. Leur direction sait tout cela et ne fait rien pour que cela change. Leur réservoirde client est tellement grand que cela ne les dérange pas, un client mécontent de perdu, c'est cent autres de retrouvé, et tant que ça marche on continue !



Cdiscount n'a peut être pas demandé à cette société de faire du travail supplémentaire. Par contre cela laisse penser que les exigences demandées par Cdiscount en matiére se sécurité ne sont pas suffisantes ou alors que la qualité de l'audit n'est pas bonne. Dans tous les cas, le point faible ne semble pas être le centre d'appels.

readymade

Le communiqué mentionne le pb avec la conservation des données de cartes b … Le communiqué mentionne le pb avec la conservation des données de cartes bancaires mais n'indiquent pas les solutions apportées. Ça n'a rien à voir avec le prestataire centre d'appel



précisions : 4000 clients qui avaient, dans la zone commentaire de leur fiche, leur numero de carte bancaire avec date exp et code secu à 3 chiifres situés au dos. C'est de la saisie manuelle du service client.

plus le problème du CDAV qu'on en peut pas résilier en ligne tout comme les commandes qu'on ne peut pas annuler en ligne...j'ai envoyé un petit mail ce matin à la ddpp pour ça on verra si ils se pencheront sur le cas. ça cumule les défauts chez cdiscount

Quand on lit les explications de Cdiscount données par le site de MrO, on est très rassuré. Les données de cartes
bancaires transitent uniquement entre le client et la banque.

" Le fait de communiquer votre numéro de carte de crédit sur le serveur bancaire au moment du paiement de votre commande est entièrement sécurisé.
En effet, cette manipulation ne comporte aucun risque puisque les coordonnées de votre carte de crédit ne transitent jamais en clair sur le réseau :
elles sont chiffrées grâce au protocole SSL (Secure Socket Layer). "

Alors qu'on m'explique comment une société extérieure à Cdiscount ai pu avoir ces numéros de carte avec le code visuel. Le personnel de ce service client
aurai aussi pu faire ses achats de Noël avec une livraison dans un relais colis par exemple. Donc le problème est beaucoup plus grave que d'écrire ce numéro
en commentaire sur une fiche. Comment se sont t'ils procurés ces numéros et ça Cdiscount n'en parle pas.

Banni

On en parle un peu partout de cet avertissement public...

Picsinf

" Le fait de communiquer votre numéro de carte de crédit sur le serveur b … " Le fait de communiquer votre numéro de carte de crédit sur le serveur bancaire au moment du paiement de votre commande est entièrement sécurisé. En effet, cette manipulation ne comporte aucun risque puisque les coordonnées de votre carte de crédit ne transitent jamais en clair sur le réseau : elles sont chiffrées grâce au protocole SSL (Secure Socket Layer). "



Les fuites de données ne se produisent à peu près jamais lors du transfert. Mais après si les données sont conservées et en plus non protégées c'est plus facile de se servir directement sur leurs serveurs. Le niveau de sécurité global est celui du maillon le plus faible.
Si en plus ils font appel à des prestas externes payés au lance pierre...

Il ne faut pas oublier qu'ils stockent automatiquement les coordonnées de paiement (CB, Paypal...) sans demander l'accord des clients en prétextant l'accès à la fonctionnalité d'achat immédiat et express. Et dans ce cas, je ne pense pas que le SSL est assuré .

Picsinf

Quand on lit les explications de Cdiscount données par le site de MrO, on … Quand on lit les explications de Cdiscount données par le site de MrO, on est très rassuré. Les données de cartesbancaires transitent uniquement entre le client et la banque." Le fait de communiquer votre numéro de carte de crédit sur le serveur bancaire au moment du paiement de votre commande est entièrement sécurisé. En effet, cette manipulation ne comporte aucun risque puisque les coordonnées de votre carte de crédit ne transitent jamais en clair sur le réseau : elles sont chiffrées grâce au protocole SSL (Secure Socket Layer). "Alors qu'on m'explique comment une société extérieure à Cdiscount ai pu avoir ces numéros de carte avec le code visuel. Le personnel de ce service clientaurai aussi pu faire ses achats de Noël avec une livraison dans un relais colis par exemple. Donc le problème est beaucoup plus grave que d'écrire ce numéro en commentaire sur une fiche. Comment se sont t'ils procurés ces numéros et ça Cdiscount n'en parle pas.

Pourquoi laisser 3 mois à Cdiscount ?? Est-ce qu'on laisserait 3 mois à n'importe quelle PME ? Pas sur..

roazhon91

Est-ce qu'on laisserait 3 mois à n'importe quelle PME ? Pas sur..


Je pense que si.
Ne pas oublier que la cnil n'a que très peu de pouvoir, je ne serais pas étonné qu'il n'y ait aucune sanction même si cdiscount ne fait rien pour y remédier ... c'est essentiellement le fait que l'avertissement soit connu du public qui leur fera du tord, ils n'ont probablement pas grand chose à craindre de la cnil elle même.

la CNIL n'a pas en ligne de mire Microsoft pour les données clients puisées qui ne lui sont pas essentiels ????

Windows 10 : la CNIL met publiquement en demeure MICROSOFT CORPORATION de se conformer, dans un délai de trois mois, à la loi Informatique et Libertés
20 juillet 2016

cnil.fr/fr/…lai

en principe ce doit être réglé ??

Alors cela veut dire que leur banque est complice puisqu'au départ il n'y a qu'eux qui ont les numéros de la carte bancaire.
Et après mystérieusement ces données apparaissent dans les bases de données Cdiscount. C'est encore plus grave, on ne
peut même plus faire confiance à leur banque.
Il y a aussi le comportement de Paypal qui est inadmissible, ils accordent un crédit illimité à Cdiscount sur mon compte en
banque sans demander mon autorisation. Tout est pourri chez Cdiscount et leurs explications ne font que aggraver leur cas.

Qu'est ce qu'on se marre en lisant ce topic. A part 2 ou 3 posts éclairés, le reste c'est du vent/pipo/conneries messieurs.
Laisser un commentaire
Avatar
@
    Texte
    Top sujets
    1. [Topic Officiel] Crypto-monnaie2141855
    2. Tickets restaurant1017
    3. [Cdiscount] Gagner des bons d'achat (100€, 50€, etc..)114914065
    4. Le topic de l'épargne - Faire des économies c'est bien, gagner de l'argent …6458666

    Voir plus de discussions