Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CNIL vs CDISCOUNT : La sécurité des données de milliers d’internautes en jeu

novembre 2016 par Antoine CHERON, avocat associé ACBM Avocats – www.acbm-avocats.com

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative autonome chargée d’assurer la sécurité des données personnelles et de la vie privée des citoyens sur internet. Elle a enregistré 80 plaintes d’internautes depuis 2015 concernant le site d’achat d’objets en tous genre Cdiscount au slogan alléchant « Vous êtes plus riche que ne le croyez ».

Après avoir constaté des manquements graves relatifs à la sécurité des données personnelles collectées par Cdiscount, la CNIL a prononcé un avertissement publié à son encontre au mois d’octobre 2016. La société aurait du mesurer l’importance des données personnelles de ses utilisateurs et s’assurer du respect de la législation en vigueur. Elle indique elle même compter environ 2 millions de visiteurs et 85.000 ventes par jours, ce qui a conduit la CNIL à rendre publique sa mise en demeure.

Une CNIL s’annonçant intransigeante

Dans son communiqué, la CNIL a annoncé engager deux procédure : une procédure de sanction avec désignation d’un rapporteur et une procédure de mise en demeure. Le ton est donné, elle s’annonce intransigeante. La société Cdiscount devrait donc être pécuniairement sanctionnée si elle ne régularise pas dans un délai de 3 mois un certain nombre de paramètres.

Par exemple, Cdiscount doit mettre un œuvre un traitement de lutte contre la fraude à la carte bancaire, informer recueillir le consentement des utilisateurs du site quant au traitement de leurs données et instaurer une politique de mots de passe robustes. Autant dire que la société épinglée n’avait pas respecté le minimum des garanties légales imposées aux sites internet mercantiles en Europe.

Une bien mauvaise publicité pour le « N°1 du e-commerce en France ! »

Respecter la législation implique de placer des barrières entre le consommateur et l’achat d’un produit, telles qu’accepter des conditions générales, une politique de confidentialité, créer un mot de passe complexe, attendre le code de validation de la banque, etc. Il y a donc un véritable intérêt commercial associé à la politique minimale des entreprises en matière de sécurité des données personnelles.

Evidemment, la menace d’une sanction pécuniaire est censée renverser ce raisonnement, à condition d’être réellement dissuasive pour les acteurs du e-commerce. Mais pour une société comme Cdiscount, faisant plus d’un milliard d’euros de bénéfices annuels, c’est avant tout la mauvaise publicité engendrée par cet avertissement public qui revêt un caractère punitif. Là se niche également toute l’efficacité des entités comme la CNIL, qui n’hésite pas à s’attaquer aux géants du Net comme Google, Facebook et aujourd’hui Cdiscount.

Vers une sanction à plusieurs millions en cas de non-exécution ?

Le règlement européen sur les données personnelles qui sera directement applicable en 2018 prévoit de plafonner pouvoir de sanction des Commissions de l’informatique et des liberté européennes à 20 millions d’euros et à 4% du chiffre d’affaires mondial dans le cas d’une entreprise. Le législateur français a anticipé ce renforcement des pouvoirs répressifs de la CNIL à l’occasion de l’adoption de la Loi pour une République numérique.

En effet, elle peut dorénavant prononcer une sanction allant jusqu’à 3 millions d’euros contre 150.000 euros auparavant. La société Cdiscount ayant de grandes capacités financières, cela ne paraît pas impossible que la CNIL mette à contribution son nouveau pouvoir punitif pour faire de ce cas un exemple. Tout dépendra de la bonne volonté du site à se conformer à la mise en demeure dans le délai accordé, ce dernier expirant le 26 décembre prochain. Affaire à suivre donc.


Voir les articles précédents

    

Voir les articles suivants