Skip to main content
AssuranceTechnologies

Vente à distance – Protection des données de cartes bancaires – Délibération CNIL du 6/10/16 (CDiscount)

By 1 novembre 2016No Comments

Novembre 2016

En raison de nombreux manquements graves à la règlementation sur la protection des données personnelles (loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, les fichiers et les libertés) la CNIL a décidé le 6 octobre 2016 de rendre public un avertissement à l’encontre de la société CDiscount.

Parmi les plus sérieux manquements CDiscount s’est vu reprocher sa politique de gestion des moyens de paiements (cartes bancaires) des clients, notamment :

– l’enregistrement des coordonnées bancaires de clients lors d’appels reçus par la société ;

rappelons en effet que les données de carte bancaire doivent selon la CNIL (délibération n°2013-358 du 14 novembre 2013), dans la plupart des cas, être supprimées une fois la transaction réalisée (après paiement effectif), ou après expiration du délai de rétractation en cas de vente à distance, voire après un délai de 13 à 15 mois (L.133-24 du code monétaire et financier) sous réserve du respect de plusieurs règles de sécurité (attention aux enregistrements de vente par téléphone contenant des données de carte bancaire) ; la durée de conservation peut être prolongée dans certains cas mais avec le consentement exprès du titulaire de la carte ;

– la conservation de plus de 4 000 données bancaires, associées pour certaines à des cryptogrammes visuels, de manière non sécurisée ;

selon la CNIL le cryptogramme ne peut être conservé au-delà de la date de réalisation de la transaction, y compris en cas de paiements successifs ;

– la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation de la CNIL.