Le fait : par une délibération du 19 juillet, la Cnil a prononcé un avertissement public à l’encontre de Fnac Direct pour divers manquements dans la conservation des données bancaires de ses clients.
Trois séries de manquements à la loi Informatique & Libertés sont reprochés à Fnac Direct, éditeur du site Fnac.com. La première concerne l’obligation de recueillir le consentement des personnes à la conservation des leurs données bancaires : nom du porteur, numéro et date de validité de la carte bancaire. En effet, le cybermarchand peut souhaiter offrir à ses clients un service de « portefeuille électronique », facilitant les paiements en évitant la ressaisie de ces informations lors d’une nouvelle commande. Toutefois, pour pouvoir conserver ces données après la réalisation d’une transaction, la Cnil exige que le cybermarchand recueille le consentement exprès de ses clients. Des mesures d’information et la possibilité d’effacement a posteriori ne sont pas suffisantes.
Plusieurs millions de comptes clients stockés
La Commission relève ensuite plusieurs manquements relatifs à la durée de conservation des données. Plus de 780 000 cryptogrammes visuels étaient enregistrés dans les bases de ce site, alors que ces informations doivent être supprimées une fois obtenue l’autorisation de paiement de la banque. En outre, les données de plusieurs millions de comptes clients – actifs et inactifs – étaient stockées sans qu’aucune règle conservation n’ait été fixée par le cybermarchand. Enfin, aucun mécanisme de purge définitive des données bancaires, ni manuelle ni automatisée, n’était appliqué. L’autorité de contrôle a donc sanctionné la conservation sans limite de temps de chacune de ces catégories de données.
Sécurité et confidentialité insuffisantes
C’est enfin sur la question de la sécurité et de la confidentialité des données que la Cnil a épinglé le site. Elle a en effet établi qu’étaient conservés dans une même base de données, en clair, sans hachage ni chiffrage, le nom du porteur de la carte, son numéro de carte, sa date de validité et, parfois, son cryptogramme visuel. La Cnil souligne que par ce « choix délibéré », la « société a délibérément encouru le risque que certaines personnes puissent avoir accès à l’ensemble des coordonnées bancaires de ses clients, dans un seul et même fichier, qu’un tel accès puisse être le fait d’un employé malveillant ou celui d’une intrusion extérieure ».
Ce qu’il faut retenir : la Cnil prévient que dans un contexte de développement du commerce en ligne, elle est susceptible d’opérer d’autres contrôles dans ce secteur afin de s’assurer du respect des droits des consommateurs.
