A l’issue d’un contrôle en ligne du site internet de CDISCOUNT et d’un contrôle sur place, la CNIL a constaté les manquements suivants :
- Manquements qualifiés de graves
‐ Défaillances techniques ayant entraîné la divulgation des données à des tiers non-autorisés ;
‐ Conservation des numéros de cartes bancaires ainsi que les cryptogrammes associés dans des champs de commentaires pendant une durée excessive et sans mesures de sécurité adaptées (ni obfuscation ni tokenisation) ce qui pourrait entraîner une utilisation frauduleuse des données par des prestataires externes
‐ Absence de mécanisme d’archivage ou de purge des données des clients et des prospects
- Autres manquements
‐ Présence de commentaires non pertinents,
‐ Enregistrement d’une conversation téléphonique contenant les coordonnées bancaires d’un client,
‐ Absence d’autorisation de la CNIL pour un traitement de lutte contre la fraude,
‐ Information insuffisante des personnes sur les formulaires en ligne,
‐ Dépôt de cookies d’une durée pouvant atteindre 30 ans,
‐ Conservation de données de cartes bancaires périmées,
‐ Sécurité insuffisante des mots de passe,
‐ Non-respect des demandes de suppression des données,
‐ Pas de consentement exprès à la prospection commerciale,
‐ Le non-respect des instructions par le sous-traitant n’est pas de nature à amoindrir la gravité du manquement et ne décharge pas le responsable de traitement de son obligation.
