La Cnil épingle Fnac.com sur la conservation des données bancaires

Philippe CROUZILLACQ 27 juillet 2012

« Les données bancaires communiquées par des clients lors d’un achat sur internet sont des données sensibles dont la conservation par le commerçant doit répondre à un certain nombre de règles strictes ». (…) « La conservation de ces données ne peut se faire qu’avec le consentement préalable des clients pour une durée limitée et doit présenter un haut niveau de sécurité », rappelle la Commission nationale de l’informatique et des libertés (Cnil) sur son site.

Et pourtant…La Cnil a annoncé vendredi avoir adressé un avertissement à la société Fnac Direct, société exploitant le site Fnac.com (l’un des géants avec l’Américain Amazon du commerce en ligne en France), en raison de « manquements dans la conservation des données bancaires » de ses clients.

Lors de contrôles menés en février 2012 il est par exemple « apparu que cette société Fnac Direct conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte, parfois le cryptogramme visuel et, dans un format insuffisamment sécurisé, le numéro de la carte », précise la Commission nationale de l’informatique et des libertés.

« Cette base comprenait les données relatives à plusieurs millions de cartes bancaires en cours de validité ou dont la durée de validité avait expiré, sans qu’elle n’ait fait l’objet de purge ou d’archivage », ajoute la Cnil.

Cependant la commission reconnaît que « les conditions de sécurité retenues n’ont pas porté préjudice aux clients ». Elle estime néanmoins que ces conditions « étaient insuffisantes au regard de la sensibilité des données ».

Facebook

Twitter