Cdiscount et la CNIL

Posté par fetalai le 19/10/2016 à 16h22

Cdiscount et la CNIL

Le 19/10/2016 à 16h22

Un article de presse du Monde aujourd'hui

CDiscount mis en demeure par la CNIL

Le gendarme de la vie privée a constaté de nombreux manquements graves dans la manière dont l’entreprise stocke les données de ses clients.

LE MONDE | 19.10.2016 à 15h43 • Mis à jour le 19.10.2016 à 16h04
Réagir
Ajouter

Partager Tweeter

Un « avertissement public » pour des « manquements graves » : la Commission nationale de l’informatique et des libertés a mis en demeure mercredi 19 octobre la société CDiscount de corriger plusieurs problèmes importants dans la manière dont elle gère ses fichiers clients.

Le gendarme de la vie privée a relevé plusieurs problèmes liés à la sécurité des informations collectées, des manquements à la loi (conservation des données pendant trente ans, stockage d’informations bancaires sans le consentement des personnes...) et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »).

CDiscount dispose de trois mois pour corriger ces différents problèmes, faute de quoi l’entreprise risque une amende. Les mises en demeure publiques de la CNIL sont plutôt rares – le gendarme de la vie privée explique avoir choisir de rendre la procédure visant CDiscount publique « en raison de la quantité des manquements constatés et du volume potentiel de personnes concernées ».

34 commentaires

NOUVELLE REPONSE

Nombre de réponses par page

Ce paramètre s’applique automatiquement à l’ensemble des sujets.

Flux RSS des réponses

FSKT

Le 19/10/2016 à 16h26

#1 Signaler
Ah c'est moche :D
meh

Le 19/10/2016 à 16h27

#2 Signaler
a quand sfr et leur partenaires certissim ??
le meilleur reste amazon :3
Untypcool

Le 19/10/2016 à 16h37

#3 Signaler
et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »)
Ça rappelle l'affaire Boulanger. xS
modecashback

Le 19/10/2016 à 16h40

#4 Signaler
lyon3980

Le 19/10/2016 à 16h52

#5 Signaler
c cdicount :D le meilleur service client sur terre :D
Mr0

Le 19/10/2016 à 17h17

#6 Signaler
Les données bancaires et les cryptogrammes visuels stockés en clair... Mais quel scandale...
Untypcool

Le 19/10/2016 à 17h21

#7 Signaler
Les données bancaires et les cryptogrammes visuels stockés en clair... Mais quel scandale...
Heureusement, il y a Paypal et les e-cartes bleues. :)
Mr0

Le 19/10/2016 à 17h26 (Modifié le 19/10/2016 à 17h28)

#8 Signaler
Je vais poser ça là.

https://clients.cdiscount.com/Information/SecurityInternet.aspx

La plateforme de paiement sécurisé Cdiscount est certifiée PCI DSS par Visa et MasterCard dans le but de sécuriser les données de carte bancaire. La certification PCI DSS est accordée par un organisme indépendant qui audite Cdiscount chaque année.

Communiquer votre numéro de carte bancaire sur notre site est entièrement sécurisé. En revanche, il est possible qu'une personne malveillante parvienne à se procurer votre numéro de Carte bancaire (par exemple en cas de vol), et l'utilise pour passer une commande à votre insu. C’est donc pour optimiser la sécurité des paiements effectués sur Cdiscount que nous procédons, de façon aléatoire, à des contrôles FIA-NET.
brok

Le 19/10/2016 à 17h26

#9 Signaler
et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »).

Sur quoi cdiscount se base pour faire ce type de mention ?
Manapany

Le 19/10/2016 à 17h26

#10 Signaler
Je leur ai, il n'y a pas si longtemps, collé un contrôle CNIL dans les pattes. Malgré une prise à la légère de ce genre d'action par CDiscount il y a un juste retour des choses derrière. Ca leur servira de leçon.
Syu63

Le 19/10/2016 à 17h34

#11 Signaler
Si seulement ça "servait de leçon".

Pour que ça soit le cas, faudrait autant de plaintes individuelles que de manquements (pour les jugements de valeur notés sur les clients, par exemple), avec des sanctions à la clé.

Là on leur dit juste "vous jouez avec le pognon des autres, avec leur sécurité, vous émettez des jugements de valeur, vous faites n'importe quoi, vous êtes complétement irresponsables => c'est pas bieeeeen |o . Vous avez x mois pour faire semblant de changer, sinon on va se fâcher tout rouge".

Est-ce que sur la route, quand tu te fais flasher, tu reçois un courrier pour te dire "t'as 3 mois pour ralentir, sinon t'auras une amende" ?
Wylasfred

Le 19/10/2016 à 19h59 (Modifié le 19/10/2016 à 21h56)

#12 Signaler
Les données bancaires et les cryptogrammes visuels stockés en clair... Mais quel scandale...
Heureusement, il y a Paypal et les e-cartes bleues. :)
Non, PayPal ne fonctionne pas forcément... La cartes bancaire virtuelle (ECB ou le service d'E-CarteBleue) non plus d'ailleurs... Ni le 3DS car cela ne se charge rien (cf cette image :http://nsa37.casimages.com/img/2016/10/19/161019080317399899.png).

À l'occasion, il m'est arrivé de lire les déboires des clients sur Dealabs (LaFourmillière etc). C'est Cdiscount qui est à l'origine de ce(s) problème(s) car les clients ont bien renseigné les bonnes informations... Donc, aucuns de ces 2 services (PayPal comme la e-cartebleu) ne devrait présenter de problème. À moins que cela soit une note... C'est assez détestable mais le service client est digne de sa mauvaise réputation ainsi que de son incompétence. Nous avons eu un petit bon exemple hier avec la remise de 18% sur l'informatique dont ils ignoré même l'existence (etc)...
Et non, le service client fut incapable de l'admettre, ni de résoudre ce(s) problème(s). Ils n'ont surement jamais fait remonter le problème au bon service... car ces problèmes se manifestent uniquement sur Cdiscount et encore à ce jour.
D'après une banque, ce serait le système anti-fraude de Cdiscount ou alors un excès de zèle (de trop, surcharge) dans la sécurité (notamment via le 3DS ou le 3DSecure etc) qui empêche leur bon fonctionnement.
Yoap

Le 19/10/2016 à 22h09

#13 Signaler
Petit communiqué de Cdiscount sur cette affaire pour ceux que ça intéresse :

(Publié sur Twitter : https://twitter.com/Cdiscount/status/788782330253021184)
roazhon91

Le 19/10/2016 à 22h12

#14 Signaler
Communiqué auquel on est pas obligé de croire ;) perso j'ai lu que le début mais ça m'a suffit ^^
readymade

Le 20/10/2016 à 0h36

#15 Signaler
Le communiqué mentionne le pb avec la conservation des données de cartes bancaires mais n'indiquent pas les solutions apportées. Ça n'a rien à voir avec le prestataire centre d'appel
Jennessee

Le 20/10/2016 à 1h01

#16 Signaler
Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait jamais ^^
J'avais payé par carte bancaire vu que Paypal ne fonctionnait pas via l'application, je viens de me rendre compte que Cdiscount avait enregistré mes numéros de carte bancaire, date d'expiration, en me rendant dans "mon compte" "Mes moyens de paiement" :(
pierre28

Le 20/10/2016 à 1h10

#17 Signaler
Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait jamais ^^
J'avais payé par carte bancaire vu que Paypal ne fonctionnait pas via l'application, je viens de me rendre compte que Cdiscount avait enregistré mes numéros de carte bancaire, date d'expiration, en me rendant dans "mon compte" "Mes moyens de paiement" :(
Tu peux aussi supprimer les paiements pré-approuvés dans ton interface paypal (si pas déjà fait), sinon cdiscount garde le libre accès à ton compte.
dm34600

Le 20/10/2016 à 1h19

#18 Signaler
et a aussi relevé la présence de « commentaires non pertinents dans la base de données », dont des mentions très personnelles (« client a une maladie cardiaque », « client raciste »).
Sur quoi cdiscount se base pour faire ce type de mention ?
N'oublies pas que cdiscount ( bien qu'étant une entité indépendante ), fait partie intégrante de la grande famille du Groupe Casino!
Or, quand vous ( essayez ) de faire le tour de toutes les sociétés qui font " partie " de ce groupe, on trouve tout aussi bien les supermarchés/hypermarchés ... que la Banque Casino qui a changé plusieurs fois de nom ces 20 dernières années ( ex-Cofinoga, ex-Carte C, ex-.... ), et que les banques délivrent ( ou pas ) des crédits, des assurances, ect.
Mais, même si tu y fais une demande de crédit, par exemple pour acheter une nouvelle voiture, un simple crédit à la consommation, un regroupement de crédit, ect .. même si cette opération t'es finalement refusée, il aura fallu que tu transmette tout un tas d'informations pour qu'ils " étudient " ton dossier, et que ces informations que tu leur a ( gracieusement ) fournies viennent grossir leurs bases de données à ton sujet ( et surtout à ton insu )!!

Alors, entre " cousins ", puisqu'ils sont parties intégrantes du même Groupe, faut pas s'étonner que les données que tu as transmises d'un côté soient exploitées/utilisées par une autre entité du Groupe.

Toi, tu estimeras que c'est de l'abus de confiance, mais pour eux ( les financiers ) c'est plutôt perçu comme une protection qui leur " évite une partie du risque " ... de ne jamais revoir leur pognon!! :D

De toute façon, les cgv te disent que tu peux, à tout moment, avoir accès aux informationsqui te concernent chez eux ( ca, c'est la Loi ), .... mais il te sera impossible de pouvoir prouver qu'ils ne cachent pas d'autres informations!!
BlueScreen

Le 20/10/2016 à 10h57

#19 Signaler
Je viens de supprimer mes données bancaires sur Cdiscount, on ne sait jamais ^^

Ca ne changera pas grand chose vu qu'ils conservent les données même lorsqu'on n'est plus client xD
fresnel

Le 20/10/2016 à 12h00 (Modifié le 20/10/2016 à 12h01)

#20 Signaler
facile de traiter de raciste qd t'as des gens avec un très fort accent arabe qui captent rien de ce que tu leur dit et/ou qui te raccrochent au nez, t'façon ici sur DL on est tous dans leur ficher des pète-bonbons ^^
Tibal26

Le 20/10/2016 à 12h24

#21 Signaler
J'ai tout simplement arrêté cdiscount quand je me suis rendu compte que c'était des boulets. Service client déplorable et leur histoire de contrôle de paiement FIANET, ils m'ont eu une fois, pas deux !
Picsinf

Le 20/10/2016 à 13h27

#22 Signaler
@Tibal26
Oui, aujourd'hui il ne s'agit que du volet financier du paiement, mais il y a aussi le service client qui est vraiment
nul de chez nul. Dans la réponse de Yoap, ils affirment que c'est une société externe qui à commis tous ces délits.
Mais pourquoi cette société se serait mise en infraction et aurai fait un travail supplémentaire si ce n'est pour
satisfaire les demandes de Cdiscount ? Alors qu'ils n'accusent pas les autres, c'est chez eux qu'il y a de graves
dysfonctionnements. L'année dernière ils étaient 19eme sur 20 pour la qualité de leur service client, cette année
ils postulent pour la vingtième place. Leur direction sait tout cela et ne fait rien pour que cela change. Leur réservoir
de client est tellement grand que cela ne les dérange pas, un client mécontent de perdu, c'est cent autres de
retrouvé, et tant que ça marche on continue !
Deub

Le 20/10/2016 à 13h52

#23 Signaler
@Tibal26
Oui, aujourd'hui il ne s'agit que du volet financier du paiement, mais il y a aussi le service client qui est vraiment
nul de chez nul. Dans la réponse de Yoap, ils affirment que c'est une société externe qui à commis tous ces délits.
Mais pourquoi cette société se serait mise en infraction et aurai fait un travail supplémentaire si ce n'est pour
satisfaire les demandes de Cdiscount ? Alors qu'ils n'accusent pas les autres, c'est chez eux qu'il y a de graves
dysfonctionnements. L'année dernière ils étaient 19eme sur 20 pour la qualité de leur service client, cette année
ils postulent pour la vingtième place. Leur direction sait tout cela et ne fait rien pour que cela change. Leur réservoir
de client est tellement grand que cela ne les dérange pas, un client mécontent de perdu, c'est cent autres de
retrouvé, et tant que ça marche on continue !

Cdiscount n'a peut être pas demandé à cette société de faire du travail supplémentaire. Par contre cela laisse penser que les exigences demandées par Cdiscount en matiére se sécurité ne sont pas suffisantes ou alors que la qualité de l'audit n'est pas bonne. Dans tous les cas, le point faible ne semble pas être le centre d'appels.
readymade

Le 20/10/2016 à 14h25

#24 Signaler
Le communiqué mentionne le pb avec la conservation des données de cartes bancaires mais n'indiquent pas les solutions apportées. Ça n'a rien à voir avec le prestataire centre d'appel

précisions : 4000 clients qui avaient, dans la zone commentaire de leur fiche, leur numero de carte bancaire avec date exp et code secu à 3 chiifres situés au dos. C'est de la saisie manuelle du service client.
roazhon91

Le 20/10/2016 à 14h32

#25 Signaler
plus le problème du CDAV qu'on en peut pas résilier en ligne tout comme les commandes qu'on ne peut pas annuler en ligne...j'ai envoyé un petit mail ce matin à la ddpp pour ça on verra si ils se pencheront sur le cas. ça cumule les défauts chez cdiscount
Picsinf

Le 20/10/2016 à 16h47

#26 Signaler
Quand on lit les explications de Cdiscount données par le site de MrO, on est très rassuré. Les données de cartes
bancaires transitent uniquement entre le client et la banque.

" Le fait de communiquer votre numéro de carte de crédit sur le serveur bancaire au moment du paiement de votre commande est entièrement sécurisé.
En effet, cette manipulation ne comporte aucun risque puisque les coordonnées de votre carte de crédit ne transitent jamais en clair sur le réseau :
elles sont chiffrées grâce au protocole SSL (Secure Socket Layer). "

Alors qu'on m'explique comment une société extérieure à Cdiscount ai pu avoir ces numéros de carte avec le code visuel. Le personnel de ce service client
aurai aussi pu faire ses achats de Noël avec une livraison dans un relais colis par exemple. Donc le problème est beaucoup plus grave que d'écrire ce numéro
en commentaire sur une fiche. Comment se sont t'ils procurés ces numéros et ça Cdiscount n'en parle pas.
T1t0une

Le 20/10/2016 à 16h55

#27 Signaler
On en parle un peu partout de cet avertissement public...
BlueScreen

Le 20/10/2016 à 22h49

#28 Signaler

" Le fait de communiquer votre numéro de carte de crédit sur le serveur bancaire au moment du paiement de votre commande est entièrement sécurisé.
En effet, cette manipulation ne comporte aucun risque puisque les coordonnées de votre carte de crédit ne transitent jamais en clair sur le réseau :
elles sont chiffrées grâce au protocole SSL (Secure Socket Layer). "

Les fuites de données ne se produisent à peu près jamais lors du transfert. Mais après si les données sont conservées et en plus non protégées c'est plus facile de se servir directement sur leurs serveurs. Le niveau de sécurité global est celui du maillon le plus faible.
Si en plus ils font appel à des prestas externes payés au lance pierre...
nyah

Le 20/10/2016 à 23h00 (Modifié le 26/10/2016 à 22h24)

#29 Signaler
Il ne faut pas oublier qu'ils stockent automatiquement les coordonnées de paiement (CB, Paypal...) sans demander l'accord des clients en prétextant l'accès à la fonctionnalité d'achat immédiat et express. Et dans ce cas, je ne pense pas que le SSL est assuré ':).

Quand on lit les explications de Cdiscount données par le site de MrO, on est très rassuré. Les données de cartes
bancaires transitent uniquement entre le client et la banque.

" Le fait de communiquer votre numéro de carte de crédit sur le serveur bancaire au moment du paiement de votre commande est entièrement sécurisé.
En effet, cette manipulation ne comporte aucun risque puisque les coordonnées de votre carte de crédit ne transitent jamais en clair sur le réseau :
elles sont chiffrées grâce au protocole SSL (Secure Socket Layer). "

Alors qu'on m'explique comment une société extérieure à Cdiscount ai pu avoir ces numéros de carte avec le code visuel. Le personnel de ce service client
aurai aussi pu faire ses achats de Noël avec une livraison dans un relais colis par exemple. Donc le problème est beaucoup plus grave que d'écrire ce numéro
en commentaire sur une fiche. Comment se sont t'ils procurés ces numéros et ça Cdiscount n'en parle pas.
roazhon91

Le 20/10/2016 à 23h01

#30 Signaler
Pourquoi laisser 3 mois à Cdiscount ?? Est-ce qu'on laisserait 3 mois à n'importe quelle PME ? Pas sur..
pierre28

Le 20/10/2016 à 23h12

#31 Signaler
Est-ce qu'on laisserait 3 mois à n'importe quelle PME ? Pas sur..
Je pense que si.
Ne pas oublier que la cnil n'a que très peu de pouvoir, je ne serais pas étonné qu'il n'y ait aucune sanction même si cdiscount ne fait rien pour y remédier ... c'est essentiellement le fait que l'avertissement soit connu du public qui leur fera du tord, ils n'ont probablement pas grand chose à craindre de la cnil elle même.
SangChaud53

Le 21/10/2016 à 0h16 (Modifié le 21/10/2016 à 0h18)

#32 Signaler
la CNIL n'a pas en ligne de mire Microsoft pour les données clients puisées qui ne lui sont pas essentiels ????

Windows 10 : la CNIL met publiquement en demeure MICROSOFT CORPORATION de se conformer, dans un délai de trois mois, à la loi Informatique et Libertés
20 juillet 2016

https://www.cnil.fr/fr/windows-10-la-cnil-met-publiquement-en-demeure-microsoft-corporation-de-se-conformer-dans-un-delai

en principe ce doit être réglé ??
Picsinf

Le 21/10/2016 à 9h20

#33 Signaler
Alors cela veut dire que leur banque est complice puisqu'au départ il n'y a qu'eux qui ont les numéros de la carte bancaire.
Et après mystérieusement ces données apparaissent dans les bases de données Cdiscount. C'est encore plus grave, on ne
peut même plus faire confiance à leur banque.
Il y a aussi le comportement de Paypal qui est inadmissible, ils accordent un crédit illimité à Cdiscount sur mon compte en
banque sans demander mon autorisation. Tout est pourri chez Cdiscount et leurs explications ne font que aggraver leur cas.
nicay

Le 21/10/2016 à 9h40

#34 Signaler
Qu'est ce qu'on se marre en lisant ce topic. A part 2 ou 3 posts éclairés, le reste c'est du vent/pipo/conneries messieurs.

Laisser une réponse

Des champs obligatoires n’ont pas été remplis, ou l’ont été incorrectement.